近日，趨勢(shì)科技根據(jù)所捕獲的Smart Protection Network（SPN）數(shù)據(jù)和來(lái)自北美地區(qū)的Managed Detection and Response（MDR）的數(shù)據(jù)，發(fā)現(xiàn)老式攻擊一直持續(xù)存在著，且生命力旺盛，比如垃圾郵件等傳播方式依然強(qiáng)勁，而勒索軟件攻擊又煥發(fā)出新的活力，另外2018年第三季度的監(jiān)測(cè)數(shù)據(jù)也顯示，挖掘加密貨幣的惡意軟件的新式攻擊的數(shù)量也急劇增加。
然而，研究人員卻發(fā)現(xiàn)，這些舊威脅一直持續(xù)存在著，且生命力旺盛，安防人員不要誤解為幕后開(kāi)發(fā)者或攻擊者有滿足于現(xiàn)狀的跡象。事實(shí)上，這是他們?cè)诓粩喔倪M(jìn)已被證明有效的工具和技術(shù)，以便在網(wǎng)絡(luò)罪犯和安全提供商之間無(wú)休止的獲取主動(dòng)攻擊權(quán)的征兆。
其中垃圾郵件是傳播惡意軟件的首選方法

2018年第三季度北美地區(qū)排名前15位的惡意軟件
基于云安全智能防護(hù)網(wǎng)絡(luò)（SPN）的監(jiān)測(cè)數(shù)據(jù)，本季度北美地區(qū)排名前15位的惡意軟件非常多元化。可以看到排名第一的是EMOTET惡意軟件，其次是挖掘加密貨幣的惡意軟件COINHIVE。木馬POWLOAD和被稱為AMCleaner的潛在不受歡迎的應(yīng)用程序（potentially unwanted application ，PUA）分別排在第三和第四位。
利用欺詐性垃圾郵件實(shí)施釣魚(yú)攻擊，可以將許多攻擊力很大的惡意軟件的效用發(fā)揮大最大。另外，之所以釣魚(yú)攻擊很普遍，是因?yàn)樗鼈兒苌傩枰獜?fù)雜的工具才能進(jìn)行攻擊，而且它們之所以有效，是因?yàn)楣�擊者只需要了解人類的行為以及誘使毫無(wú)戒心的用戶點(diǎn)擊鏈接或下載惡意附件即可。
研究人員在第三季度發(fā)現(xiàn)的垃圾郵件攻擊活動(dòng)表明，攻擊者已經(jīng)在慢慢的改進(jìn)釣魚(yú)軟件的傳播方法。下面的三個(gè)示例顯示了攻擊者是如何以不同方式使用單個(gè)攻擊向量。一種是典型的網(wǎng)絡(luò)釣魚(yú)嘗試，所有的攻擊元素都在這些類型的攻擊中被發(fā)現(xiàn)；而另一種則使用仍然證明有效的舊惡意軟件；最后一個(gè)示例涉及一種新的，巧妙的技術(shù)，利用電子郵件劫持和現(xiàn)有對(duì)話來(lái)攻擊用戶。
發(fā)生在加拿大的網(wǎng)絡(luò)釣魚(yú)活動(dòng)
以發(fā)生在加拿大的網(wǎng)絡(luò)釣魚(yú)活動(dòng)為例，看看攻擊者是如何使用與稅收相關(guān)的PDF文件作為誘餌的。與大多數(shù)網(wǎng)絡(luò)釣魚(yú)攻擊一樣，電子郵件是釣魚(yú)攻擊情形中使用的主要攻擊入口。乍一看，該電子郵件來(lái)自似乎是合法的政府機(jī)構(gòu)：“加拿大稅務(wù)局（CRA）”，甚至還有一個(gè)PDF文檔附件，文件名為CRA-ACCESS-INFO.pdf。此電子郵件包含一條偽造的虛假消息，通知收件人CRA已向他們發(fā)送了INTERAC電子轉(zhuǎn)帳，可通過(guò)其中的說(shuō)明轉(zhuǎn)賬或點(diǎn)擊PDF中嵌入的鏈接來(lái)存入資金。

偽裝成來(lái)自CRA的電子郵件的網(wǎng)絡(luò)釣魚(yú)攻擊
如上圖所示，PDF郵件正文包含一個(gè)“請(qǐng)存入資金”的標(biāo)簽，該標(biāo)簽鏈接到一個(gè)將受害者重定向到網(wǎng)絡(luò)釣魚(yú)頁(yè)面的惡意URL。然后，網(wǎng)絡(luò)釣魚(yú)頁(yè)面會(huì)檢查受害者的有關(guān)IP地址的地理位置的信息。如果發(fā)現(xiàn)IP地址的地理位置與計(jì)劃中的目標(biāo)區(qū)域（比如本文中為北美）匹配，則會(huì)重定向到要求用戶輸入個(gè)人詳細(xì)信息和財(cái)務(wù)憑據(jù)的頁(yè)面，否則，它將重定向到Y(jié)ouTube。研究人員在北美地區(qū)看到的所有這類釣魚(yú)攻擊都有著非常一致的模式，所有攻擊樣本的電子郵件和附件都是相同的。
在電子郵件中找到的Interac公司是一個(gè)合法的加拿大借記卡公司，它將金融機(jī)構(gòu)和其他企業(yè)聯(lián)系起來(lái)，以便交換進(jìn)行電子金融交易。Interac作為加拿大借記卡系統(tǒng)，具有廣泛的可接受性，可靠性，安全性和效率。該組織是加拿大領(lǐng)先的支付品牌之一，平均每天使用它進(jìn)行支付和兌換貨幣的次數(shù)達(dá)到1600萬(wàn)次，攻擊者使用這樣一個(gè)受大家信任的金融機(jī)構(gòu)就增加了網(wǎng)絡(luò)釣魚(yú)郵件得“合法性”。
使用EMOTET有效載荷的垃圾郵件
EMOTET是隨著時(shí)間的推移而發(fā)展的惡意軟件的完美示例。
趨勢(shì)科技的安全團(tuán)隊(duì)早在2014年首次發(fā)現(xiàn)EMOTET木馬使用網(wǎng)絡(luò)嗅探技術(shù)竊取數(shù)據(jù)，最初是一種銀行木馬，但在之后的幾年里EMOTET表現(xiàn)得并不活躍且慢慢開(kāi)始淡出人們的視線。
但在2017年8月份，趨勢(shì)科技又發(fā)現(xiàn)了EMOTET，并詳細(xì)介紹了EMOTET的四個(gè)完全不同類型的變種TSPY_EMOTET.AUSJLA、TSPY_EMOTET.SMD3、TSPY_EMOTET.AUSJKW、TSPY_EMOTET.AUSJKV，這些變種的攻擊目標(biāo)分別是美國(guó)、英國(guó)和加拿大。自2018年2月以來(lái)，Emotet一直在使用其加載程序功能來(lái)傳播Quakbot系列惡意軟件，該系列的行為模式類似于網(wǎng)絡(luò)蠕蟲(chóng)。此外，Emotet還在傳播Ransom.UmbreCrypt勒索軟件和其他惡意軟件（如DRIDEX）。Emotet還加強(qiáng)了其功能和策略，包括使用第三方開(kāi)源組件。比如，Emotet在Google的原型程序上構(gòu)建了一個(gè)通信協(xié)議，該協(xié)議使用Lempel-Ziv-Markov（LZMA）壓縮，LZMA是一種用于執(zhí)行無(wú)損數(shù)據(jù)壓縮的鏈算法。
最近，研究人員又發(fā)現(xiàn)了大量的EMOTET垃圾郵件活動(dòng)，使用各種社交工程方法來(lái)誘使用戶下載和啟動(dòng)其惡意載荷，通常采用惡意MS Word或PDF文檔的形式。
多態(tài)性和類蠕蟲(chóng)功能的結(jié)合使其能夠快速傳播到網(wǎng)絡(luò)中，而無(wú)需任何其他用戶交互。EMOTET的頑強(qiáng)生命力讓任何專業(yè)的安全保護(hù)組織都感到棘手，特別是在考慮它可能對(duì)組織產(chǎn)生的影響時(shí)。除了信息竊取之外，EMOTET還可以對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成嚴(yán)重破壞并引發(fā)賬戶凍結(jié)，讓企業(yè)蒙受金錢和聲譽(yù)損失。
利用被劫持的電子郵件傳播URSNIF
URSNIF是一種銀行木馬，會(huì)竊取敏感資料并在受影響的主機(jī)上收集數(shù)據(jù)，包括電子郵件憑證、證書(shū)、瀏覽器cookie和來(lái)自webinjects的財(cái)務(wù)信息。研究人員最近發(fā)現(xiàn)了一個(gè)新的攻擊系列，該攻擊系列利用被劫持的合法電子郵件來(lái)發(fā)送URSNIF。在今年9月監(jiān)測(cè)到的惡意郵件活動(dòng)卻表明，攻擊者正在采取更為復(fù)雜的網(wǎng)絡(luò)釣魚(yú)形式。該惡意活動(dòng)會(huì)劫持電子郵件賬戶，并對(duì)郵箱中已有的郵件內(nèi)容進(jìn)行回復(fù)，在回復(fù)的內(nèi)容中附帶惡意軟件。對(duì)已有郵件的回復(fù)，實(shí)際上是連續(xù)通信中的一部分，因此這種特殊的釣魚(yú)方式難以被用戶發(fā)現(xiàn)，也難以檢測(cè)。通常，受害者都沒(méi)有意識(shí)到他們正在遭受釣魚(yú)郵件的威脅。這些攻擊與今年早些時(shí)候Talos發(fā)現(xiàn)的URSNIF/GOZI惡意郵件活動(dòng)非常相似，該惡意活動(dòng)使用暗云僵尸網(wǎng)絡(luò)中部分被劫持的計(jì)算機(jī)向已有郵件發(fā)送回信，很可能是URSNIF/GOZI惡意郵件活動(dòng)的升級(jí)版本或演變版本。根據(jù)迄今為止收集到的數(shù)據(jù)，我們發(fā)現(xiàn)該惡意活動(dòng)主要影響北美和歐洲地區(qū)，同時(shí)在亞洲和拉丁美洲地區(qū)也發(fā)現(xiàn)了類似的攻擊。本次惡意活動(dòng)的主要目標(biāo)是教育、金融和能源行業(yè)。然而，此次惡意活動(dòng)還影響到了其他行業(yè)，包括房地產(chǎn)、交通運(yùn)輸、制造業(yè)和政府。值得注意的是，惡意垃圾郵件是作為正在進(jìn)行的對(duì)話的一部分發(fā)送的，這使得目標(biāo)用戶更難以檢測(cè)到。此攻擊系列與商業(yè)電子郵件攻擊（BEC）有一些相似之處，但沒(méi)有電匯欺詐。