研究人员在分析了数十亿次攻击后警告说,Microsoft Office宏,PowerShell等仍在通过网络钓鱼电子邮件分发攻击的网络罪犯中很受欢迎。
创建恶意的Office宏仍然是网络犯罪分子部署的最常见的攻击技术,他们试图诱骗受害者打开网上诱骗电子邮件,从而危害PC。
网络钓鱼电子邮件是大多数网络入侵的第一步,网络犯罪分子使用心理技巧诱使潜在受害者打开并与恶意消息进行交互。
这些可能包括创建声称来自知名品牌的电子邮件,虚假发票,甚至声称来自老板的邮件。
网络犯罪分子可以利用多种方法来利用网络钓鱼电子邮件来获得所需的访问权限,据网络安全公司Proofpoint的研究人员称,Office宏是实现此目的的最常用方法。
宏是Microsoft Office的一项功能 ,允许用户启用自动命令来帮助运行任务。但是,该功能也被网络罪犯滥用。由于通常默认情况下启用宏来运行命令,因此这些宏 可用于执行恶意代码 -从而为网络犯罪分子提供了偷偷摸摸的方式来控制PC。
这些活动中的许多活动将通过声称需要使用功能来查看Microsoft Word或Microsoft Excel附件,使用社会工程学来鼓励受害者启用宏。事实证明,这是对网络罪犯的一种成功的攻击方法,Office宏占攻击总量的十分之一。
但是Office宏并不是网络罪犯为了使黑客活动尽可能成功而通常采用的唯一攻击技术。
沙盒逃避是分发网络钓鱼电子邮件的犯罪分子使用的第二种最常见的攻击技术。
这是当恶意软件内置威胁检测的开发人员怀疑怀疑恶意软件正在虚拟机上运行或由安全研究人员设置的漏洞时,阻止恶意软件运行-有效地将其隐藏。目的是阻止分析人员检查攻击,从而防止其他系统受到攻击。
攻击者仍会定期将PowerShell滥用,以将其作为网络钓鱼电子邮件的最初立足点,从而获得对网络的访问。与涉及宏的攻击不同,这些攻击通常依赖于发送受害者以单击带有代码的链接来执行PowerShell。攻击通常很难检测到,因为它们使用的是合法的Windows功能,这就是PowerShell仍然受到攻击者欢迎的原因。
用于使网络钓鱼电子邮件更成功的其他常见攻击技术包括将用户重定向到带有恶意HTML代码的网站,这些网站将在恶意软件访问受害者时将恶意软件拖放到受害者的PC上,而众所周知,攻击者只是劫持电子邮件线程,利用受害者如何信任受害者出于恶意目的信任的已知联系人和滥用行为,例如发送恶意软件或请求登录凭据。
有关最常见攻击技术的数据来自针对Proofpoint客户的活动以及对数十亿封电子邮件的分析。
Proofpoint研究人员在博客文章中说:“训练用户发现和报告恶意电子邮件。定期进行培训和模拟攻击可以阻止许多攻击,并帮助识别特别容易受到攻击的人。最好的模拟可以模仿现实世界的攻击技术。”