信息化觀察網(wǎng)

本文來(lái)自嘶吼網(wǎng)，作者/~陽(yáng)光~。

安全研究人員最近進(jìn)行的一項(xiàng)研究發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪分子正越來(lái)越多地使用惡意的HTML文件來(lái)攻擊計(jì)算機(jī)。除此之外，Barracuda Networks的研究還表明，惡意文件現(xiàn)在占到了通過(guò)電子郵件發(fā)送的所有HTML附件的一半以上。與去年相比，數(shù)量有明顯的增加。

為防止網(wǎng)絡(luò)犯罪分子通過(guò)電子郵件連接C2服務(wù)器下載加密的惡意軟件、特洛伊木馬等文件，他們選擇使用HTML附件進(jìn)行發(fā)送。

基于HTML郵件的釣魚(yú)詐騙由來(lái)已久，但人們并沒(méi)有意識(shí)到這一點(diǎn)，而且越來(lái)越多的人上當(dāng)受騙。

盡管HTML文件仍然是2022年網(wǎng)絡(luò)釣魚(yú)詐騙中最常見(jiàn)的附件之一，但這表明該方法仍然是繞過(guò)垃圾郵件檢測(cè)軟件并向被攻擊目標(biāo)傳送垃圾郵件的最有效方法之一。

那些使用網(wǎng)絡(luò)服務(wù)器或從網(wǎng)絡(luò)服務(wù)器接收HTML文檔的本地存儲(chǔ)設(shè)備，可以將HTML文檔渲染成一個(gè)多媒體網(wǎng)頁(yè)。HTML文檔就是描述一個(gè)網(wǎng)頁(yè)的語(yǔ)義文檔，HTML也可以描述一個(gè)網(wǎng)頁(yè)的內(nèi)容。

當(dāng)受害者收到使用HTML文件的網(wǎng)絡(luò)釣魚(yú)郵件時(shí)，他們經(jīng)常會(huì)被引導(dǎo)到惡意網(wǎng)站，下載文件或可在其計(jì)算機(jī)的瀏覽器中本地顯示網(wǎng)絡(luò)釣魚(yú)表格。

電子郵件安全軟件在收到郵件時(shí)，通常會(huì)忽略附件，因?yàn)镠TML不會(huì)對(duì)收件人構(gòu)成威脅；因此，郵件就會(huì)被成功發(fā)送到受害者的收件箱中。

關(guān)于最近惡意HTML文件大量增加的原因，這似乎并不是黑客向許多受害者發(fā)送相同附件的大規(guī)模攻擊活動(dòng)造成的。

為了防止網(wǎng)絡(luò)攻擊，現(xiàn)在比以往任何時(shí)候都更需要使用適當(dāng)?shù)木W(wǎng)絡(luò)安全措施。防止這類攻擊的關(guān)鍵是及時(shí)報(bào)告所發(fā)現(xiàn)的攻擊事件。

據(jù)報(bào)道，網(wǎng)絡(luò)犯罪團(tuán)伙DEV-0238和DEV-0253也一直在使用該手法進(jìn)行攻擊，通過(guò)HTML附件來(lái)傳遞鍵盤(pán)記錄器。網(wǎng)絡(luò)犯罪團(tuán)伙DEV-0193通過(guò)也會(huì)通過(guò)HTML秘密傳輸Trickbot等惡意軟件。

攻擊者在釣魚(yú)攻擊中使用HTML附件進(jìn)行攻擊

釣魚(yú)網(wǎng)站發(fā)送的附件最常見(jiàn)的是HTML類型附件。HTML文件本身一般并沒(méi)有惡意代碼。這意味著它看起來(lái)可能是良性的，并且也不會(huì)向系統(tǒng)發(fā)送惡意代碼。盡管是這樣，我們還是建議謹(jǐn)慎對(duì)待這種附件。他們通過(guò)模仿微軟、谷歌或主要網(wǎng)上銀行等服務(wù)的登錄頁(yè)面，誘導(dǎo)用戶在表格中輸入他們的憑證并進(jìn)行提交，從而導(dǎo)致攻擊可以者接管他們的賬戶。

當(dāng)在HTML附件中添加垃圾郵件表格以及使用重定向策略時(shí)，黑客通常會(huì)使用以下幾種方式來(lái)實(shí)施。這些戰(zhàn)術(shù)包括從簡(jiǎn)單的重定向到混淆JavaScript，偽裝網(wǎng)絡(luò)釣魚(yú)表格來(lái)竊取個(gè)人信息。

一個(gè)安全的電子郵件網(wǎng)關(guān)和防病毒解決方案可以很好的檢查電子郵件中的附件，看它們是否含有惡意的URL、腳本或其他威脅。

大多數(shù)網(wǎng)絡(luò)犯罪攻擊都是由惡意的網(wǎng)絡(luò)釣魚(yú)或使用HTML附件中的JavaScript進(jìn)行重定向進(jìn)行的。這樣做是為了避免被受害者發(fā)現(xiàn)。

考慮到惡意文件可能會(huì)損害你的設(shè)備和你的組織，確保你要采取必要的預(yù)防措施，使自己免受其害。當(dāng)務(wù)之急是知道如何通過(guò)采取以下預(yù)防措施來(lái)防止攻擊的發(fā)生：

在這種情況下，你的電子郵件系統(tǒng)的基礎(chǔ)設(shè)施是非常重要的。反病毒軟件和防火墻應(yīng)定期進(jìn)行更新。此外，還必須要實(shí)施一個(gè)有效的行動(dòng)來(lái)防止數(shù)據(jù)丟失。應(yīng)該為你的域名配置DMARC協(xié)議，將其作為確保通信安全的最有效方式。

采用雙因素認(rèn)證是非常有必要的，其次是基于多因素認(rèn)證的零信任訪問(wèn)。不過(guò)可以確定的是，即使你的員工被黑客攻擊、盜竊憑證，成為網(wǎng)絡(luò)釣魚(yú)攻擊的受害者，他們也會(huì)得到保護(hù)。這是因?yàn)橄到y(tǒng)會(huì)評(píng)估他們的憑證、設(shè)備、位置、時(shí)區(qū)和訪問(wèn)歷史，限制違規(guī)的行為。

我們應(yīng)該認(rèn)識(shí)到員工自身能夠識(shí)別和報(bào)告惡意HTML附件的重要性。員工必須要接受培訓(xùn)，了解如何識(shí)別和報(bào)告來(lái)自未知來(lái)源的附件，特別是那些含有惡意軟件的附件。如果不加以防治，網(wǎng)絡(luò)安全威脅會(huì)給企業(yè)組織帶來(lái)嚴(yán)重的后果。

當(dāng)然，在這種情況下，混淆是所有惡意的HTML附件的共同特征之一。我們必須要在電子郵件網(wǎng)關(guān)層來(lái)處理這樣的威脅，這表明它是非常的難以檢測(cè)。

本文翻譯自：https://www.cysecurity.news/2023/05/emails-with-html-attachments-are-still.html