信息化觀察網(wǎng)

近期，全球各地又在擴(kuò)散著Emotet方式的病毒垃圾郵件，其主要特征是帶有一個(gè).xlsm或經(jīng)zip加密的.xlsm的惡意文件。當(dāng)收件者不慎執(zhí)行惡意xlsm宏，病毒就會被激活，并在終端后臺盜取各類信息。

通過對實(shí)際案例的分析，研究人員發(fā)現(xiàn)攻擊者依然利用早期獲取的內(nèi)部用戶資訊，并通過全球各地弱賬戶平臺，偽裝為相關(guān)業(yè)務(wù)往來回復(fù)類郵件，誘導(dǎo)用戶點(diǎn)擊運(yùn)行附件。

這種攻擊會從.xlsm內(nèi)紀(jì)錄的URL列表嘗試下載擴(kuò)展名為.ocx文件（實(shí)為DLL的文件），并復(fù)制到用戶目錄（「AppDataLocal隨機(jī)目錄名稱」）下，隨機(jī)取名xxxxxxx.yyy(x長度不定)，通過執(zhí)行C:Windowssystem32regsvr32.exe/s"C:Users用戶名稱AppDataLocal隨機(jī)目錄名稱下的惡意文件，并通過registry設(shè)定開機(jī)執(zhí)行。

為了成功入侵，黑客攻擊手法不斷演化，發(fā)展出各種能夠躲避偵測的攻擊。值得留意的是第二波惡意文件攻擊，直接以加密的手段躲避防毒機(jī)制的檢查，而加密壓縮文件內(nèi)的.xlsm又以混淆手段，增加防毒系統(tǒng)的攔截難度。基礎(chǔ)或只有防病毒功能的郵件防御，已無法對抗黑客日益精進(jìn)的進(jìn)階攻擊。

守內(nèi)安建議企業(yè)用戶盡快使用新一代防御技術(shù)，包括：擁有多層過濾機(jī)制對抗入侵，同時(shí)具有ADM(Advanced Defense Module)高級防御機(jī)制；能自動解壓文件并進(jìn)行掃描；可發(fā)掘潛在危險(xiǎn)代碼、隱藏的邏輯路徑及反編譯代碼，進(jìn)一步對惡意軟件進(jìn)行比對；可深度防御魚叉式攻擊、匯款詐騙、APT攻擊郵件、勒索病毒以及新型態(tài)攻擊等郵件。