你有没有走过一家商店,发现了一件看起来很奇怪的物品,但你还是把它放进了你的购物车里?也许它很有吸引力,因为它是你想要弄来琢磨一番的新东西;也许它看起来很闪亮—你必须拥有它 …… 如果是这样,你可能危险了,攻击者正在寻找和你一样的购物者。他们不断发布新的“产品”,通常是狡猾的电子邮件,以吸引毫无戒心的用户。最近出现的一波恶意“产品”已经通过互联网查询文件(IQY)中的未经请求链接以电邮形式进入虚拟“购物街”。
什么是 IQY?
什么是 IQY 文件附件?为什么它成为了黑客发动攻击的主流风格?Microsoft Excel 使用此类型的文件将数据从 Internet 提取到电子表格中,为此,URL 被嵌入到 IQY 文件中,该文件便于从指定的网页中提取数据。
虽然 IQY 文件扩展名对许多用户来说听起来有点陌生,但是如果你看一下使用 SharePoint 的企业级网络,例如一个与 Microsoft Office 集成的基于 Web 的协作平台,你肯定会找到许多使用 IQY 文件的实例。这些文件可帮助网络用户共享和编辑 Excel 电子表格,以及其他用途。可以想象,带有嵌入式 URL 的常见文件可以很容易地被用于恶意目的。这就是为什么这些类型的文件不会在不与用户交互的情况下运行代码的原因。为防止其内容自动加载,文件中内置了一个安全提示,询问用户打开 IQY 文件时是否要“启用”数据连接。为什么攻击者很喜欢 IQY 文件?
出于几个原因,IQY 文件对攻击者来说很有吸引力。首先,它们很容易创建,使用文本编辑程序就可以创建 IQY 文件。攻击者可以将其恶意指令与可操作的 URL 一起插入文本编辑器,并使用“.iqy”扩展名保存。然后,他们可以使用该文件直接从感染区域传递恶意代码。IQY 也很小且很不显眼,使得它们更容易植入垃圾邮件中。
这种类型的文件附件相对不常见,并且通常不会附加到电子邮件中,这就是攻击者可能感兴趣的原因。攻击者不断在其垃圾邮件活动中随机插放文件类型,目标就是那些毫无戒心的用户。他们还试图防范安全解决方案,特别是那些过滤网络钓鱼和恶意软件感染活动中最常见的文件类型和扩展的解决方案(比如各种的安全软件)。
IQY 攻击!
据IBM X-Force最近披露的统计数据显示,近几个月来,在垃圾邮件活动中使用 IQY 文件的情况一直在增加。
从 2018 年 5 月 25 日开始,首次观察到一个主要的恶意垃圾邮件分销商 Necurs 僵尸网络使用了武器化的 IQY 文件附件。到2018年5月下旬到7月中旬,IBM X-Force 研究人员在其垃圾邮件陷阱中捕获了来自 Necurs 资源的 780,000 多封垃圾邮件,所有这些消息都包含 IQY 附件。
进一步分析在垃圾邮件陷阱中捕获的电子邮件后,确认 IQY 附件包含恶意 URL。一旦用户被诱骗执行这些恶意的URL链接,设备上的感染链就会启动。这最终会导致设备在用户不知情的情况下下载 FlawedAmmy RAT(这是一种恶意的远程访问工具,其源代码在2018年3月泄露,曾引发了大量的黑客攻击活动,波及面达数十万用户)。
以下是一些包含在 X-Force 活动中的 Necurs IQY 附件里的恶意的URL示例(缺省http://)
clodflarechk[.]com/2.datbrembotembo[.]com/2.datthespecsupportservice[.]com/duo.datbrtt7[.]com/preload.gif169.239.129[.]17/404t69c[.]com/A令人担忧的现状,有足够的 IQY 文件可供使用
在 2018 年7月中旬,一个名为 DarkHydrus 的攻击组织也开始使用恶意 IQY 附件。DarkHydrus 的网络钓鱼邮件中隐藏了大量武器化 IQY 文件。根据 SecurityWeek(安全周刊) 的说法,IQY 文件中的恶意 URL 可以通过在受害者的设备上运行 PowerShell 脚本来设置后门。此次攻击被认为具有国家层面的动机。
另一个例子:最近观察到的恶意 IQY 附件中使用了一种叫Marap 的恶意软件。Marap 网络钓鱼电子邮件活动始于 2018 年 8 月,IBM X-Force 研究人员从 2018 年8月10日开始捕获此活动的电子邮件,并最终确认其中包含恶意 IQY 文件附件。
IQY—你知道为什么……
在垃圾邮件中使用各种鲜为人知的文件类型和扩展名是当下利用僵尸网络发动攻击的趋势。为了确保他们的恶意电子邮件能够不被电子邮件过滤器阻止,网络犯罪组织一直在改变他们的策略,全年提供多种形状的诱杀文件。由于 IQY 文件在许多企业网络中具有固有的实用性和普遍性,因此某些安全实践可以帮助降低与它们相关的风险,而无需完全阻止这些文件的使用。给防御者的提示
最好的防御策略之一是宣传流行的垃圾邮件发送者策略。确保组织中的每个人都了解 IQY 文件带来的危险。随着他们在垃圾邮件活动中的使用量的迅速提升,需要将 IQY 文件纳入反垃圾邮件和网络钓鱼知识的培训。如果您的环境中未使用 IQY 文件,则可以使用组策略阻止它们。系统管理员可以修改信任中心设置以禁用从 Excel 电子表格中启动的数据连接。如果您单位的网络上需要 IQY 文件,请使用高级电子邮件过滤规则。某些电子邮件安全解决方案提供了检查电子邮件附件内容的选项。在阻止附件中的特定恶意内容的前提下允许合法的 IQY 文件被通过。在电子邮件过滤规则中使用 IP 白名单,以获取 IQY 文件的允许发件人。请谨慎使用域名白名单规则,因为攻击者通常会在鱼叉式网络钓鱼攻击中尝试欺骗电子邮件域。及时了解新出现的威胁和妥协指标(IoC)以便及时阻止访问当前的攻击者在 IQY 文件中使用的已知恶意 URL IoC。确保您的安全信息与事件管理(SIEM)系统可以识别威胁,尤其是未知威胁。来自 Verizon 的 “2018年数据泄露调查报告” 的数据表明,网络钓鱼仍然是诱骗用户的一种非常有效的方式。安全研究人员经常强调警惕社交骗局,人性弱点是所有防御中最为薄弱的环节。但太多的恶意电子邮件仍然可以突破企业防御并以危险的速度提供给最终用户。根据 “IBM X-Force 威胁情报指数”,2017 年遭受攻击的被调查者中有 12% 属于攻击者试图利用无意中的内部弱点所导致的结果。以下列举一些最常见的电子邮件安全威胁。不论是活动家、调查记者、人权捍卫者、时政作者和律师,还是公司员工,都应该小心。1、恶意链接电子邮件中的恶意链接会将收件人引向将盗取其凭据的网站。用户误认为自己在安全的网站上,并且通常会回复查询信息(例如,“点击此处验证您的信息”)。一旦攻击者获得了来自毫无戒心的用户的关键信息,他们就可以访问其公司网络或其他敏感数据。2、恶意软件如果邮件包含恶意附件,则只需打开该文件即可感染,例如勒索软件或键盘记录软件。用户通常被要求打开声称包含财务信息的附件,例如发票或账单,从而被欺骗。这是一种在商业环境中非常有效的攻击技术。3、商业电子邮件诈骗近年来,企业电子邮件诈骗(BEC)案件正稳步增长。它也被称为捕鲸,攻击者冒充高级管理人员并试图诱骗员工或客户转移资金或敏感数据。根据互联网犯罪投诉中心(IC3)的“2017年互联网犯罪报告”,BEC 和电子邮件帐户妥协(EAC)造成的损失最大,使受害者损失超过 6.76 亿美元。4、周期性评估公司防御策略安全性评估当前防御策略的一种方法是从网络钓鱼模拟开始。让您的安全团队制作模拟网络钓鱼的电子邮件并将其发送给用户来模拟攻击。分析结果将成为评估组织内安全教育和意识水平的良好开端。组织还应对其入站和出站电子邮件进行更多技术评估,以确定每天有多少恶意邮件通过公司服务器,并确保不与外部方共享敏感信息。渗透测试人员可以使用电子邮件创建更具针对性的攻击模拟,并反馈有关人员和技术方面存在的弱点以及他们访问敏感信息的攻击策略。一旦安全经理了解了电子邮件安全状态,下一步就是制定一个支持防御的策略。5、考虑安全托管服务安全托管服务(MSS)提供专业知识,帮助公司满足电子邮件安全的需求,评估当前战略和平台的执行情况,并提出有关软件和硬件升级的建议。电子邮件安全服务提供商可以提供一般指导并帮助公司设置集成垃圾邮件检测和过滤、防病毒和反间谍软件,扫描邮件和附件中的病毒和蠕虫,以及出站电子邮件加密的解决方案。这些服务通常通过订阅模式提供,足够灵活,允许现场管理员设置满足其组织独特需求的策略和控制。6、投资安全意识培训加强对最终用户有关恶意附件、危险链接、常见电子邮件诈骗以及鱼叉式网络钓鱼活动中使用的技术的培训。通常,您需要寻找一个能够根据您组织的个人风险状况定制培训的导师。请记住,攻击者用于针对在金融服务公司的工作人员所使用的网络钓鱼技术将与用于针对医疗保健诊所的最终用户的策略有所不同。7、采用分层方法保护电子邮件安全外部扫描、周边保护、内部网络邮件服务器和反垃圾邮件解决方案、以及安全意识培训,放在一起使用时更有效。电子邮件安全的分层方法的目标是构建一组多样化的防御策略组合,如果其中一层被破坏,您还可以依赖另一层作为防备。电子邮件安全的分层方法需要技术和教育的结合。这些安全层可能包括外部和内部的保护,以及相关培训教育,因此员工通常是最后的防线。尽管现在可以使用很多其他类型的消息传递平台进行通信(如即时通讯软件),但电子邮件不会很快消失。只要企业使用电子邮件,犯罪分子就会利用它作为攻击媒介。评估您的电子邮件安全性对于采取可靠全面的方法来防范违规行为是至关重要的。