前不久,有用户在某社交媒体上发帖称,在微信上接收一个文件后,鼠标就不受控制了。
显然,这位网友中木马了,这是一个图标伪装为pdf的exe文件。据其描述,中招后对方一顿抢鼠标,杀软也没有起到太大作用,画面感十足。
无处不在的IM钓鱼
exe文件自然足够明显,只要足够仔细完全可以避免。但很多时候初始样本并不能够一眼看出破绽。
例如.com文件。作为一个“不太知名”的可执行文件格式,易被忽略。
-
第一,在安全意识上,无论是吃瓜摸鱼还是正常的业务往来,用户面对的往往是一个有着丰富上下文的实时对话,而非一封冰冷的邮件,易在互动过程中放松警惕;
-
第二,在检测技术上,IM软件通常采用加密流量点对点传输,很难在流量中对传输文件进行还原,进而在投递到终端之前进行精准拦截。
-
更重要的是,IM软件的一大特点就在于好友之间的信任关系。有耐心的“钓鱼佬”会通过不断聊天来建立信任,然后乘人不备“突施冷箭”。
谁会想到和好友聊天正嗨时,对方发来的一个“正常”文档,最后变成了木马.exe。
收敛IM攻击面
对此,微步OneSEC近日上线了针对IM钓鱼的攻击面收敛功能,支持用户对常见IM应用,自定义设置文件拦截规则。OneSEC能够自动识别文件格式类型,可有效防范红队针对文件图标、扩展名的伪装,轻松拿捏IM钓鱼。
-
QQ并非常见工作软件,可以在工作电脑上禁止通过QQ接收任何格式的文件;
-
微信通常用来跟外部人员交流,可以禁止接收压缩文件、可执行文件以及脚本文件等高危文件类型;
-
企业级IM由于存在身份访问限制,管控策略可相对宽松,但仍需对可执行文件和脚本文件严格管控。对于确需推送的文件则应在安全检测过后,设置白名单对其放行。
即使木马文件格式绕过了拦截规则而成功投递到用户终端,OneSEC的EDR模块也会接管接下来的木马检测与响应工作,让威胁无所遁形。
原文始发于微信公众号(微步在线):半夜加班,突然有人和我抢鼠标
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论