半夜加班,突然有人和我抢鼠标

admin 2024年8月30日08:47:13评论35 views字数 1088阅读3分37秒阅读模式

半夜加班,突然有人和我抢鼠标

前不久,有用户在某社交媒体上发帖称,在微信上接收一个文件后,鼠标就不受控制了。

半夜加班,突然有人和我抢鼠标
半夜加班,突然有人和我抢鼠标

显然,这位网友中木马了,这是一个图标伪装为pdf的exe文件。据其描述,中招后对方一顿抢鼠标,杀软也没有起到太大作用,画面感十足。

半夜加班,突然有人和我抢鼠标

评论区讨论十分热烈,只不过大多数评论都在嘲讽该网友安全意识不足,如果是自己肯定就不会点。


无处不在的IM钓鱼

exe文件自然足够明显,只要足够仔细完全可以避免。但很多时候初始样本并不能够一眼看出破绽。

例如.com文件。作为一个“不太知名”的可执行文件格式,易被忽略。

半夜加班,突然有人和我抢鼠标
再例如压缩文件。

半夜加班,突然有人和我抢鼠标
攻击者核对信息为由,通过微信投递了一个7z压缩包其中加入快捷方式文件lnk,用于加载后续恶意模块,迷惑性更强。
解压后得到文件如下图所示可以看到攻击者文件图标进行伪装。
半夜加班,突然有人和我抢鼠标
类似的IM钓鱼攻击却比比皆是。

据微步一线工程师观察发现,攻防演练期间,某用户被投递到终端上的IM钓鱼样本数量,要略高于邮件钓鱼的样本。显然,IM钓鱼正成为红队的重要选择。

这主要是相对于邮件钓鱼,IM钓鱼在某种程度上有着更大的防范难度。

  • 第一,在安全意识上,无论是吃瓜摸鱼还是正常的业务往来,用户面对的往往是一个有着丰富上下文的实时对话,而非一封冰冷的邮件,易在互动过程中放松警惕;

  • 第二,在检测技术上,IM软件通常采用加密流量点对点传输,很难在流量中对传输文件进行还原,进而在投递到终端之前进行精准拦截。

  • 更重要的是,IM软件的一大特点就在于好友之间的信任关系。有耐心的“钓鱼佬”会通过不断聊天来建立信任,然后乘人不备“突施冷箭”。


谁会想到和好友聊天正嗨时,对方发来的一个“正常”文档,最后变成了木马.exe。


收敛IM攻击面

对此,微步OneSEC近日上线了针对IM钓鱼的攻击面收敛功能,支持用户对常见IM应用,自定义设置文件拦截规则。OneSEC能够自动识别文件格式类型,可有效防范红队针对文件图标、扩展名的伪装,轻松拿捏IM钓鱼。

半夜加班,突然有人和我抢鼠标
例如:

  • QQ并非常见工作软件,可以在工作电脑上禁止通过QQ接收任何格式的文件;

  • 微信通常用来跟外部人员交流,可以禁止接收压缩文件、可执行文件以及脚本文件等高危文件类型;

  • 企业级IM由于存在身份访问限制,管控策略可相对宽松,但仍需对可执行文件和脚本文件严格管控。对于确需推送的文件则应在安全检测过后,设置白名单对其放行。


一旦收到命中拦截规则的文件格式,OneSEC会立即弹出告警,并禁止该文件的下载。

半夜加班,突然有人和我抢鼠标

半夜加班,突然有人和我抢鼠标

即使木马文件格式绕过了拦截规则而成功投递到用户终端,OneSEC的EDR模块也会接管接下来的木马检测与响应工作,让威胁无所遁形。

原文始发于微信公众号(微步在线):半夜加班,突然有人和我抢鼠标

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月30日08:47:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   半夜加班,突然有人和我抢鼠标http://cn-sec.com/archives/3108137.html

发表评论

匿名网友 填写信息