疫情防控期的几类网络安全威胁分析与防范建议
发布时间: 2020-05-07 来源:

  近期,安全研究人员发现和跟踪了多起利用新冠肺炎疫情相关信息进行网络攻击的案例,攻击者利用新冠肺炎疫情相关信息,传播勒索软件、挖矿木马、远控后门等多种类型的恶意代码,实施网络攻击。

  

  01利用新冠肺炎疫情进行社工传播的样本分析

  近期,安全研究人员监测到多起利用新型冠状病毒肺炎疫情相关热词传播恶意代码的事件,攻击者利用新冠肺炎疫情相关信息将恶意代码文件名伪装成“冠状病毒” “菲律宾各大楼冠状肺炎名单.exe”“新型冠状病毒肺炎病例全国已5名患者死亡;警惕!!.exe”等热门字样诱导用户运行。以下针对部分案例进行分析说明。

  1.1 勒索软件事件

  安全研究人员监测到两起利用新冠肺炎疫情相关信息的勒索软件事件,分别为Dharma/Crysis勒索软件家族和CXK_NMSL勒索软件。Dharma/Crysis勒索软件家族于2016年开始进行传播,利用社会热点作为传播信息和邮箱联系方式,版本变种不断迭代,本次事件中Dharma/Crysis勒索软件家族变种利用新冠肺炎疫情相关信息作为钓鱼邮件信息和RDP暴力破解等方式进行传播,并且使用“coronavirus@qq.com”作为联系邮箱。CXK_NMSL勒索软件最早于2019年7月被发现,至今更新到v3.3版本,该程序为恶搞性质的勒索软件,本次变种利用文件“中国武汉至印度旅客信息.xlsx .exe”进行传播,使用对应的解码工具即可完成解密。

  1.1.1 Dharma/Crysis勒索软件利用疫情信息进行传播

  Dharma/Crysis勒索软件最早被发现于2016年,持续活跃至今,其主要传播方式有三种:1.通过带有恶意文件的垃圾邮件进行传播;2.攻击可正常下载的程序和程序安装软件,以传播勒索软件;3.对远程桌面协议(remote desktop protocol,简称RDP)凭据展开针对性攻击,以进行传播。

  

  

  

  攻击者针对疫情相关信息作为传播内容,勒索信内容中攻击者使用“coronavirus@qq.com”作为联系邮箱,而“coronavirus”翻译为中文则是“冠状病毒”,加密文件使用“.ncov”作为后缀名(2020年2月11日,世界卫生组织宣布造成武汉肺炎疫情的新型冠状病毒正式名称为COVID-19,此前所使用的临时名称为2019-nCoV,攻击者以此作为诱饵手段)。该勒索软件运行后删除文件的卷影副本,以防止受害者通过这些备份还原其文件。采用高强度的“AES+RSA”加密算法对存储在计算机上的文件进行加密。加密完成后勒索软件会生成勒索信和勒索提示,要求受害者联系电子邮件并支付高额的勒索费以恢复其加密文件。加密后,勒索软件影响用户关键业务运行,在没有得到攻击者手中私钥的常规情况下无法解密。

  1.1.2 CXK_NMSL勒索软件利用疫情信息进行传播

  CXK_NMSL勒索软件最早被发现于2019年7月,其行为分析后判断为恶搞性质的勒索软件,本次事件中伪装成与新冠病毒疫情相关信息的文件进行传播,使用对应的解码工具即可完成解密。

  

  样本解压后出现“2020.1.10-2020.1.23Information on Travelers from Wuhan China to India.xlsx .exe”,含有“中国武汉至印度旅客信息”字样,利用疫情期间的人员流动情况吸引关注,利用Windows系统默认隐藏已知文件扩展名的特点,伪装成电子表格文件进行传播。双击执行程序后,出现如下提示框。

  

  程序执行后几乎所有类型的文件都被加密,在原文件名后追加名为“.cxk_nmsl”的后缀。

  

  该程序为恶搞性质的勒索软件,使用对应的解码工具即可完成解密。

  1.2 远控后门事件

  安全研究人员监测到多起利用肺炎疫情进行传播的远控木马。远程控制类木马通常可实现对被控机器的设备文件管理、键盘记录、远程桌面控制、系统管理、视频查看、语音监听、下载其他恶意代码等高危行为。

  1.2.1 Farfli远程控制事件

  该程序利用伪装成“菲律宾各大楼冠状肺炎名单.exe”的诱饵文件名进行传播,中招用户电脑会被攻击者完全控制。该远控木马为Farfli家族远程控制木马变种。Farfli家族木马的最新出现时间约在2007-2008年间,并且作者将源代码通过某种途径开源于互联网,导致各攻击组织在源代码的基础上衍生出诸多变种,以致Farfli家族木马达到了“泛滥成灾”的态势。

  

  1.2.2 大灰狼远程控制事件

  该恶意代码利用伪装成“新型冠状病毒肺炎病例全国已5名患者死亡;警惕!!.exe”的诱饵文件名进行传播,中招用户电脑会被攻击者完全控制。通过安全研究人员判定该远控木马为“大灰狼”远程控制木马变种,它是一款较为流行的远控工具,由于相关代码已经在黑产开源共享,有诸多攻击组织对其进行改造并发布了多款变种。

  

  1.3 挖矿木马事件

  该样本为HTML格式,网页内容为武汉疫情相关新闻,网页源代码中内嵌被注释的用于COINHIVE挖矿的JS代码,恶意功能代码被注释,推测为测试样本。

  

  样本为HTML格式,网页内容为葡萄牙语的虚假夸大的信息,网页源代码中内嵌被注释的用于COINHIVE挖矿的JS代码,钱包地址:Fb7y1DuXBfUT7sa1DIqlXp2bW9W5rFHX。

  

  攻击者使用虚假夸大的信息制作网页内容,以达到吸引眼球,增加攻击成功率的目的。

  

  1.4 恶意破坏事件

  安全研究人员监测到多起利用肺炎疫情进行恶意破坏的恶意程序。恶意程序通常删除用户重要文件,甚至导致系统不能正常启动。

  1.4.1 恶意破坏事件1

  

  

  安全研究人员监测发现利用新型冠状病毒肺炎疫情进行社工传播的破坏程序,其中一例被攻击者命名为“冠状病毒.exe”的可执行文件,运行之后会调用cmd执行指定命令,实现递归删除C盘和D盘数据,删除注册表HKLM\Software\内容分支。

  1.4.2 恶意破坏事件2

  

  该样本以NCoV Virus.exe为文件名,运行样本后,屏幕中央会显示一个窗口,后台则以命令行的形式遍历磁盘删除文件,以达到恶意破坏的目的,无网络行为。

  

  1.5 钓鱼邮件事件

  安全研究人员分析发现多起攻击者利用新型冠状病毒肺炎疫情作为诱饵,分发钓鱼邮件诱导用户点击邮件恶意附件或者点击邮件中的链接下载恶意软件。

  1.5.1 邮件示例1:钓鱼邮件传播后门附件

  利用新型冠状病毒肺炎疫情作为诱饵,诱导用户点击附件文件,该附件通过人工判定为后门程序。

  

  

  1.5.2 邮件示例2:钓鱼邮件携带恶意链接

  攻击者利用新型冠状病毒肺炎疫情作为诱饵,分发钓鱼邮件诱导用户点击邮件中的链接下载恶意软件,链接目前已经失效。

  

  1.5.3 邮件示例3:钓鱼邮件携带恶意链接

  攻击者利用新型冠状病毒肺炎疫情作为诱饵,分发钓鱼邮件诱导用户点击邮件中的链接下载恶意软件,链接目前已经失效。

  

  1.5.4 邮件示例4:传播恶意PDF

  利用武汉冠状病毒诱饵针对美国和英国个人的网络钓鱼活动,2020年1月28日发现的这一系列的钓鱼电子邮件,其中一封如下图所示,正文大意翻译为 “仔细阅读随附的有关冠状病毒传安全措施的文件,小措施可以拯救你”然后敦促目标下载一个恶意PDF文件,目的是用恶意软件载荷感染他们的计算机。

  

  1.5.5 利用钓鱼邮件传播Emotet恶意代码

  在2020年1月份,发现有网络攻击者在日本利用新型冠状病毒疫情发送相关恶意电子邮件和链接在日本传播Emotet恶意软件。攻击目标主要是政府部门和金融机构。攻击者以日本残障福利服务机构的名义发送电子邮件,内容主要是提供预防新型冠状病毒的措施,以及散布在日本的岐阜、鸟取和大阪府有冠状病毒患者的谣言,利用读者对新型冠状病毒的恐惧诱使其打开邮件附件中带有Emotet木马的Word文档,从而感染受害者的电脑。

  Emotet是一种典型的恶意木马,最早发现是于2014年6月份,传播至今,已经出现了多个版本的迭代。主要通过垃圾邮件进行传投递,在早期的版本中通过JavaScript文件传播,后期版本通过Office文档文件携带混淆代码的恶意宏代码,并嵌套PowerShell脚本等手段从C2服务器下载后进行传播。该恶意代码原本是一种窃取银行登录凭证的木马,当受害者感染后,恶意代码进而收集用户凭据、浏览器历史记录及重要文档信息,然后打包并发送至攻击者控制的存储服务器中。后来用来分发各种其他类恶意软件。

  02防范建议

  提醒广大用户:

  1、疫情防控期间办公应及时安装更新补丁,避免恶意代码利用漏洞入侵计算机;

  2、避免使用弱口令或统一的口令;

  3、避免打开社交媒体分享的来源不明的链接,给信任网站添加书签并通过书签访问;

  4、对非受信来源的邮件保持警惕,避免点击邮件中的链接或运行邮件附件;

  5、确保所有的计算机在使用远程桌面服务时采取VPN连接等安全方式,如果业务上无需使用远程桌面服务,建议将其关闭;

  6、安装具有主动防御能力的终端防护软件,既可以实时监控邮件附件,同时也能够对勒索软件提供有效防护;

  7、及时备份重要文件,且文件备份应与主机隔离。

   

  远程办公终端安全方面

  建议远程办公的员工在接入政企机构内部网络之前,对自身电脑、手机等终端进行自身安全检查。一方面,检查终端操作系统、常用软件是否处于最新版本,及时安装更新补丁,避免恶意代码利用漏洞入侵计算机;另一方面,安装相关终端安全防护产品,为远程办公终端提供恶意代码检测与查杀、勒索软件防护、高级威胁防护等安全保障。建议在异地员工逐步复工的背景下,从远程办公恢复到常态办公时,应恢复到原来办公网络应有的防护等级,需要进行相关的终端安全核查与业务衔接。

  远程办公接入安全方面

  建议通过VPN加密方式接入办公网络环境,划分逻辑隔离的远程接入安全域,设置多因子认证方式,并限制通过远程接入员工的访问权限,对远程接入的客户端进行相应的安全检查,如是否安装终端安全防护软件等判断条件。

  数据安全防护方面

  建议在确保终端环境安全的前提下,员工在相关工作文件进行交换的过程中,应采取必要的加密措施,企业侧应部署相应的文件深度分析产品,对通过企业虚拟局域网传输的文件进行威胁分析,以避免具备远程控制或信息窃取能力的恶意代码在办公网络中传播。建议政企机构安全管理员及时备份相关重要文件,并确保文件备份与主机隔离。

  远程安全运维方面

  建议针对内网资源实施严格的远程安全运维管理措施,限定相关帐户的访问区域、访问权限等,并将安全日志的审计动作落到实处。

  加强安全意识方面

  建议在特殊时期,对受可信来源的邮件保持警惕,避免点击邮件中的链接或运行邮件,将可疑的文件对象投放到企业部署的动态沙箱中进行分析鉴定。

Produced By CMS 网站群内容管理系统 publishdate:2023/09/08 15:37:05