近期,全球各地又在扩散着Emotet方式的病毒垃圾邮件,其主要特征是带有一个.xlsm或经zip加密的.xlsm的恶意文件。当收件者不慎执行恶意xlsm宏,病毒就会被激活,并在终端后台盗取各类信息。
通过对实际案例的分析,研究人员发现攻击者依然利用早期获取的内部用户资讯,并通过全球各地弱账户平台,伪装为相关业务往来回复类邮件,诱导用户点击运行附件。
这种攻击会从.xlsm内纪录的URL列表尝试下载扩展名为.ocx文件(实为DLL的文件),并复制到用户目录(「AppDataLocal随机目录名称」)下,随机取名xxxxxxx.yyy(x长度不定),通过执行C:Windowssystem32regsvr32.exe/s"C:Users用户名称AppDataLocal随机目录名称下的恶意文件,并通过registry设定开机执行。
为了成功入侵,黑客攻击手法不断演化,发展出各种能够躲避侦测的攻击。值得留意的是第二波恶意文件攻击,直接以加密的手段躲避防毒机制的检查,而加密压缩文件内的.xlsm又以混淆手段,增加防毒系统的拦截难度。基础或只有防病毒功能的邮件防御,已无法对抗黑客日益精进的进阶攻击。
守内安建议企业用户尽快使用新一代防御技术,包括:拥有多层过滤机制对抗入侵,同时具有ADM(Advanced Defense Module)高级防御机制;能自动解压文件并进行扫描;可发掘潜在危险代码、隐藏的逻辑路径及反编译代码,进一步对恶意软件进行比对;可深度防御鱼叉式攻击、汇款诈骗、APT攻击邮件、勒索病毒以及新型态攻击等邮件。