上海青羽电脑科技有限公司

技术园地

TECHNOLOGY

技术园地

学习时间 | 靠谱邮件教您如何识别带病毒附件

发布时间:2024-04-01  /  浏览次数:121次

目前,微软已经通过Office更新默认禁用来自网络的办公文档中的宏,以前这类宏是黑客的钟爱之一,针对商业用户的钓鱼邮件通常都会制作所谓的订单或者报价信息,诱导用户启用宏,进而执行宏里面包含的恶意脚本,现在这条路已经不太容易走了,但不少黑客将目标转向PDF文档,对用户们发起钓鱼,如果我们只是拿浏览器Chrome或者Edge打开PDF,那黑客暗藏的各种交互式恶意代码基本是无法运行的 (除非Chrome的PDF引擎也包含漏洞)。

 

这种情况分为两种,第一种是针对包含漏洞的Adobe Acrobat Reader这类,第二种则是针对不含漏洞的,那就得用户手动交互。

 

01针对包含漏洞的Adobe Acrobat:

攻击者一般会精心制作包含恶意代码的PDF文档,然后通过电子邮件或其他渠道进行分发,在过时且未安装补丁的Adobe Acrobat上,PDF直接使用MSHTA执行嵌入的 JavaScript脚本,然后调用powershell.exe 执行恶意脚本加载一系列恶意负载并让自己具有持久性,即重启后恶意软件也会跟着重启。

整个过程都是自动化的,只需要用户使用Adobe Acrobat打开这个PDF文件即可。

 

02针对不包含漏洞的Adobe Acrobat:

在新版本Acrobat上Adobe已经禁用执行JavaScript脚本,为此黑客会通过PDF弹出一个对话框要求重定向到外部网站。

这个外部网站也会下载JavaScript脚本并命名为具有诱导性的内容,引导用户手动打开这个JavaScript脚本,执行后也会下载一系列负载。

接下来就是黑客的各种躲避操作了,例如要规避Microsoft Defender的查杀、修改 UAC账户控制相关的注册表项、禁用Windows防火墙等,当然也包括利用一些方式进行权限提升。

完成这些操作后实际上被感染的设备就已经成了肉鸡,整个设备不存在任何私密性,如果黑客愿意,那么都可以随时获取各种机密数据,比如安插个键盘记录器。

 

针对以上情况靠谱邮件安全团队建议用户:

  • 验证电子邮件发件人信息
  • 点击链接和看到警告时请三思而行
  • 检查拼写和语法错误
  • 谨慎对待电子邮件中的内容
  • 验证异常请求
  • 使用电子邮件垃圾过滤器
  • 检查HTTPS连接
  • 删除可疑电子邮件
  • 保持Windows和安全软件为最新版
  • 使用最新且已经修复的Adobe Acrobat Reader

 

另外,靠谱邮件提供的SAAS云安全产品-SecurityU数字化安全意识培训平台也增加了新的附件模拟功能:

目前已增加几十套中英文模板,欢迎大家来免费体验。

一站式解决邮件收发与安全难题
靠谱工程师为您提供一对一的专业技术支持与服务
申请试用
400-602-8603