Chiến dịch email mới sử dụng PDF đã được phát hiện
Bảo mật email nên là ưu tiên hàng đầu vì nó vẫn là vectơ tấn công ban đầu số một cho các vi phạm dữ liệu, theo IBM. Mặc dù vậy, các cuộc tấn công email tinh vi vẫn tiếp tục chiếm đoạt nạn nhân một cách hiệu quả, khai thác yếu tố con người, vốn đã tham gia vào 82% tất cả các vụ vi phạm trong năm nay. Thật không may, một chiến dịch phân phối phần mềm độc hại khác sử dụng tệp đính kèm PDF đã được xác định trong tháng trước, với tin tặc tìm ra một cách mới để buôn lậu phần mềm độc hại vào thiết bị của nạn nhân.
Hãy tóm tắt lại cách cuộc tấn công được thực hiện
Chiến dịch tội phạm mạng mới - được phát hiện bởi HP Wolf Security - đã tận dụng hành vi không chắc chắn của người dùng, để phân phối Snake Keylogger vào các điểm cuối dễ bị tổn thương bằng các tệp PDF.
Các tác nhân đe dọa đầu tiên đã gửi một email có tiêu đề "Hóa đơn chuyển tiền", để lừa các nạn nhân nghĩ rằng họ sẽ được trả tiền cho một cái gì đó. Khi PDF được mở, Adobe Reader đã nhắc người dùng mở một tài liệu nhúng - tệp DOCX - có thể đáng ngờ nhưng khá khó hiểu đối với nạn nhân, vì tài liệu nhúng được đặt tên là "đã được xác minh". Điều này làm cho nạn nhân nghĩ rằng trình đọc PDF đã quét tệp và nó đã sẵn sàng để sử dụng.
Tệp Word có thể chứa macro, nếu được bật, sẽ tải xuống tệp văn bản đa dạng thức (RTF) từ vị trí từ xa và chạy nó. Các tập tin sau đó sẽ cố gắng để tải về các phần mềm độc hại Snake Keylogger.
Để cuộc tấn công thành công, các điểm cuối được nhắm mục tiêu vẫn phải dễ bị tổn thương bởi một lỗ hổng nhất định. Tuy nhiên, lần này kẻ tấn công không gửi mã độc mà lừa nạn nhân tải xuống, bỏ qua hệ thống phòng thủ cổng dựa trên phát hiện.
Cộng đồng an ninh mạng tin rằng nhiều vi phạm an ninh là có thể tránh được. Ví dụ, lỗ hổng hiện tại đã được xác định vào năm 2017 và một loạt các cuộc tấn công gần đây có thể đã được ngăn chặn nếu tất cả các quản trị viên thiết bị luôn cập nhật hệ điều hành của họ.
Theo DBIR của Verizon, có bốn con đường chính dẫn đến thông tin doanh nghiệp: thông tin đăng nhập, lừa đảo, khai thác lỗ hổng và botnet. Không chặn chỉ một trong các yếu tố có thể dẫn đến xâm nhập mạng. Trong trường hợp này, những kẻ tấn công đã sử dụng hai yếu tố để tấn công: lừa đảo qua email được dàn dựng tốt để đánh lừa người dùng không nghi ngờ và lỗ hổng bị khai thác để cài đặt các tệp độc hại.
Các biện pháp bảo vệ thường được sử dụng
Kể từ khi chiến dịch tội phạm mạng mới sử dụng email để phân phối Snake Keylogger đến các điểm cuối dễ bị tổn thương thông qua các tệp PDF, các phương pháp bảo mật tốt nhất sẽ không hoạt động đúng vì những lý do sau:
- Việc khai thác các lỗ hổng xuất hiện trong vài ngày, nhưng các tổ chức phải mất vài tuần hoặc vài tháng để vá.
- Các giải pháp bảo mật email truyền thống phải vật lộn để ngăn chặn các cuộc tấn công zero-day vì không có chữ ký chống vi-rút nào tồn tại để phát hiện chúng.
- Sandbox Các giải pháp đã nổi lên như một cách tiếp cận để phát hiện mối đe dọa nâng cao, nhưng chúng không phù hợp với email vì chúng thêm thời gian xử lý bổ sung trước khi gửi
- Ngoài tác động tiêu cực đến năng suất, một số mối đe dọa bảo mật email nhất định có thể tránh được việc phát hiện hộp cát. Trong trường hợp này, hai phương pháp này đã được áp dụng:
- Thực thi bị trì hoãn hành động
- Trojan &; Macro
Nếu tin tặc muốn đảm bảo phần mềm độc hại của họ không thực thi trong môi trường hộp cát, thì một cách tiếp cận phổ biến khác là chờ tương tác của người dùng cuối. Đây có thể là nhấp chuột, gõ trên bàn phím hoặc mở một ứng dụng cụ thể - các tùy chọn là khá vô hạn. Điều quan trọng đối với kẻ tấn công là các giải pháp sandbox không thể giải thích cho những hành động này. Nếu không có hành động của người dùng như vậy, các giải pháp hộp cát không thể phát hiện các cuộc tấn công này.
Các tệp Trojan gần như lâu đời như Hy Lạp cổ đại, vì vậy với tín dụng của các giải pháp chống vi-rút và hộp cát, họ có thể phát hiện khá nhiều loại tệp Trojan. Các giải pháp dựa trên phát hiện có xu hướng thất bại khi phần mềm độc hại được ẩn trong các tài liệu Microsoft Office hỗ trợ macro. Nhược điểm duy nhất của các cuộc tấn công dựa trên vĩ mô đối với kẻ tấn công là chúng yêu cầu người dùng cuối kích hoạt chúng, vì vậy chúng thường đi kèm với một cuộc tấn công kỹ thuật xã hội.
Triết lý Zero-Trust
Các tổ chức nên cho rằng tất cả email và tệp đính kèm đều độc hại. Các tệp năng suất phổ biến, chẳng hạn như tài liệu Word hoặc PDF, có thể bị nhiễm phần mềm độc hại và các cuộc tấn công zero-day, nhưng việc chặn quyền truy cập vào email hoặc tài liệu Word là không thực tế. Các giải pháp chống vi-rút và hộp cát bị hạn chế bởi khả năng phát hiện các cuộc tấn công nâng cao. Như chúng ta đã thấy với cuộc tấn công ở trên, chỉ sử dụng bảo vệ dựa trên phát hiện về cơ bản là cách tiếp cận sai. Thay vào đó, các tổ chức nên áp dụng phương pháp bảo mật không tin cậy với giải pháp chủ động coi tất cả các tệp là độc hại và dọn sạch chúng theo thời gian thực. Các tệp đính kèm đã được khử trùng như vậy có thể được gửi ngay đến người dùng, do đó không cản trở năng suất kinh doanh, trong khi ở chế độ nền cho phép có thời gian để phân tích dựa trên phát hiện (hoặc động) thêm, nếu thành công, thậm chí có thể gửi tệp gốc cho người dùng.
MetaDefender Email Security là một giải pháp như vậy. Nó cung cấp một cách tiếp cận toàn diện để vô hiệu hóa các tệp đính kèm, nội dung email và tiêu đề, bằng cách xóa tất cả nội dung độc hại tiềm ẩn và xây dựng lại nó dưới dạng tệp sạch. Do đó, các tệp này hoàn toàn có thể sử dụng và an toàn, cung cấp sự bảo vệ đầy đủ cho người dùng không an toàn trước các cuộc tấn công được mô tả ở trên.
OPSWAT bảo vệ các tổ chức khỏi việc khai thác và nội dung vũ khí hóa mà không cần phát hiện. Và nó cũng nhanh hơn 30 lần so với phát hiện hộp cát !
Nếu bạn muốn tìm hiểu thêm về cách bạn có thể lấp đầy khoảng trống bảo mật email để bảo vệ tổ chức của mình khỏi các mối đe dọa nâng cao, hãy tải xuống báo cáo nghiên cứu chuyên sâu miễn phí của chúng tôi, "Các phương pháp hay nhất cho Email Security và cơ sở hạ tầng trọng yếu Bảo vệ", hoặc đọc thêm blog về chủ đề này tại đây.
Sự tiếp xúc OPSWATHôm nay và hỏi chúng tôi làm thế nào chúng tôi có thể giúp cải thiện bảo mật email của bạn.
