今天,冠状病毒的主题已经充斥了所有新闻源,也成为攻击者利用 COVID-19 主题以及与之相关的一切活动进行各种活动的主要主题。 在这篇笔记中,我想提请注意此类恶意活动的一些示例,当然,这对于许多信息安全专家来说并不是秘密,但在一篇笔记中对其进行总结将使您更容易做好自己的认识- 为员工举办活动,其中一些人远程工作,另一些人比以前更容易受到各种信息安全威胁。
不明飞行物的一分钟关怀
全球已正式宣布 COVID-19 为大流行病,这是一种由 SARS-CoV-2 冠状病毒 (2019-nCoV) 引起的潜在严重急性呼吸道感染。 关于这个主题,有很多关于哈布雷的信息 - 永远记住,它可以既可靠又有用,反之亦然。
我们鼓励您对发布的任何信息持批评态度。
官方来源
- 各地区运营总部的网站和官方群组
如果您不住在俄罗斯,请参阅您所在国家/地区的类似网站。
勤洗手、照顾亲人、尽可能呆在家里并远程工作。阅读有关以下内容的出版物: |
应该指出的是,目前还没有与冠状病毒相关的全新威胁。 相反,我们谈论的是已经成为传统的攻击媒介,只是用于新的“酱汁”。 因此,我将威胁的主要类型称为:
- 与冠状病毒及相关恶意代码相关的网络钓鱼网站和新闻通讯
- 旨在利用有关 COVID-19 的恐惧或不完整信息的欺诈和虚假信息
- 针对参与冠状病毒研究的组织的攻击
在俄罗斯,公民传统上不信任当局,并认为他们向当局隐瞒真相,成功“推广”网络钓鱼网站和邮件列表以及欺诈性资源的可能性比开放程度更高的国家要高得多当局。 尽管今天没有人可以认为自己完全免受创造性网络欺诈者的侵害,这些欺诈者利用了一个人所有典型的人类弱点——恐惧、同情心、贪婪等。
以销售医用口罩的欺诈网站为例。
类似的网站 CoronavirusMedicalkit[.]com 因免费分发一种不存在的 COVID-19 疫苗而被美国当局关闭,并且“仅”邮资运送该药物。 在这种情况下,如此低的价格,是为了应对美国恐慌情况下对该药的抢购需求。
这不是典型的网络威胁,因为在这种情况下,攻击者的任务不是感染用户或窃取他们的个人数据或身份信息,而只是利用恐惧情绪迫使他们以高价购买医用口罩超出实际成本的5-10-30倍。 但利用冠状病毒主题创建虚假网站的想法也被网络犯罪分子所利用。 例如,这是一个名称包含关键字“covid19”的网站,但它也是一个钓鱼网站。
一般来说,日常监控我们的事件调查服务 ,您会看到有多少个域名包含 covid、covid19、coronavirus 等词的域名。 其中许多是恶意的。
在公司的一些员工被调到家里工作并且不受公司安全措施保护的环境中,监控从员工的移动和桌面设备访问的资源(无论他们是否知情)比以往任何时候都更加重要。知识。 如果您不使用该服务 检测并阻止此类域(以及思科 现在可以免费连接到该服务),然后至少配置您的 Web 访问监控解决方案以监控具有相关关键字的域。 同时,请记住,将域列入黑名单以及使用信誉数据库的传统方法可能会失败,因为恶意域的创建速度非常快,并且仅在不超过几个小时的时间内用于 1-2 次攻击 - 然后攻击者切换到新的临时域。 信息安全公司根本没有时间快速更新其知识库并将其分发给所有客户。
攻击者继续积极利用电子邮件通道来分发网络钓鱼链接和附件中的恶意软件。 它们的有效性非常高,因为用户虽然收到有关冠状病毒的完全合法的新闻邮件,但并不总是能识别出其中的恶意内容。 虽然感染人数只会增加,但此类威胁的范围也只会扩大。
例如,代表 CDC 的网络钓鱼电子邮件示例如下所示:
当然,点击该链接不会进入 CDC 网站,而是进入一个窃取受害者登录名和密码的虚假页面:
以下是据称代表世界卫生组织的网络钓鱼电子邮件的示例:
在这个例子中,攻击者指望这样一个事实,即许多人认为当局向他们隐瞒了感染的真实规模,因此用户高兴地、几乎毫不犹豫地点击这些类型的带有恶意链接或附件的信件,据说会揭露所有秘密。
顺便说一句,有这样一个网站 ,它允许您跟踪各种指标,例如死亡率、吸烟者数量、不同国家的人口等。 该网站还有一个专门针对冠状病毒的页面。 因此,当我在 16 月 XNUMX 日访问它时,我看到一个页面,一度让我怀疑当局是否告诉了我们真相(我不知道这些数字的原因是什么,也许只是一个错误):
Emotet 是攻击者用来发送类似电子邮件的流行基础设施之一,它是近年来最危险和最流行的威胁之一。 电子邮件中附加的 Word 文档包含 Emotet 下载程序,该下载程序会将新的恶意模块加载到受害者的计算机上。 Emotet 最初用于宣传销售医用口罩的欺诈网站的链接,目标是日本居民。 下面您可以看到使用沙箱分析恶意文件的结果 ,它分析文件的恶意性。
但攻击者不仅利用 MS Word 中的启动功能,还利用其他 Microsoft 应用程序的启动功能,例如 MS Excel(APT36 黑客组织就是这样做的),发送印度政府关于抗击冠状病毒的建议,其中包含 Crimson鼠:
另一种利用冠状病毒主题的恶意活动是 Nanocore RAT,它允许您在受害者计算机上安装程序以进行远程访问、拦截键盘敲击、捕获屏幕图像、访问文件等。
Nanocore RAT 通常通过电子邮件发送。 例如,您可以在下面看到一个示例邮件消息,其中附加了包含可执行 PIF 文件的 ZIP 存档。 通过点击可执行文件,受害者在其计算机上安装远程访问程序(远程访问工具,RAT)。
这是寄生于 COVID-19 主题的活动的另一个例子。 用户收到一封关于由于冠状病毒而导致交货延迟的信件,并附有扩展名为 .pdf.ace 的发票。 压缩存档内包含可执行内容,可建立与命令和控制服务器的连接以接收其他命令并执行其他攻击者目标。
Parallax RAT 具有类似的功能,它会分发名为“新感染的 CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif”的文件,并安装一个通过 DNS 协议与其命令服务器交互的恶意程序。 EDR 类保护工具,其中一个示例是 ,并且任一 NGFW 将帮助监控与命令服务器的通信(例如, ),或 DNS 监控工具(例如, ).
在下面的示例中,远程访问恶意软件安装在受害者的计算机上,由于某种未知的原因,受害者购买了广告,称安装在 PC 上的常规防病毒程序可以防范真正的 COVID-19。 毕竟,有人上当了这样一个看似玩笑的事情。
但在恶意软件中也有一些非常奇怪的事情。 例如,模仿勒索软件工作的笑话文件。 在一个案例中,我们的 Cisco Talos 部门 名为 CoronaVirus.exe 的文件,该文件在执行过程中会阻塞屏幕并启动计时器并显示消息“删除此计算机上的所有文件和文件夹 - 冠状病毒”。
倒计时完成后,底部的按钮变为活动状态,按下时会显示以下消息,说这只是个玩笑,您应该按 Alt+F12 来结束程序。
对抗恶意邮件的斗争可以自动化,例如使用 ,它不仅可以让您检测附件中的恶意内容,还可以跟踪网络钓鱼链接及其点击情况。 但即使在这种情况下,您也不应该忘记培训用户并定期进行网络钓鱼模拟和网络演习,这将使用户为攻击者针对您的用户的各种伎俩做好准备。 特别是如果他们通过个人电子邮件远程工作,恶意代码可能会渗透到公司或部门网络中。 在这里我可以推荐一个新的解决方案 ,不仅可以对人员进行信息安全问题的微观和纳米培训,还可以为他们组织网络钓鱼模拟。
但是,如果由于某种原因您还没有准备好使用此类解决方案,那么至少值得定期向您的员工发送邮件,提醒其网络钓鱼危险、其示例以及安全行为规则列表(主要是攻击者不会将自己伪装成他们)。 顺便说一句,目前可能的风险之一是伪装成管理层信件的网络钓鱼邮件,据称这些邮件谈论远程工作的新规则和程序、必须在远程计算机上安装的强制软件等。 不要忘记,除了电子邮件之外,网络犯罪分子还可以使用即时通讯工具和社交网络。
在这种邮寄或提高认识的计划中,您还可以包括已经很经典的假冠状病毒感染地图示例,该示例类似于 约翰·霍普金斯大学。 不同之处 问题是,当访问网络钓鱼网站时,用户的计算机上会安装恶意软件,该恶意软件会窃取用户帐户信息并将其发送给网络犯罪分子。 此类程序的一个版本还创建了 RDP 连接,用于远程访问受害者的计算机。
顺便说一下RDP。 这是攻击者在冠状病毒大流行期间开始更积极使用的另一个攻击媒介。 许多公司在转向远程工作时会使用 RDP 等服务,如果由于仓促而导致配置错误,可能会导致攻击者渗透到远程用户计算机和公司基础设施内部。 此外,即使配置正确,各种 RDP 实现也可能存在可供攻击者利用的漏洞。 例如,思科 Talos FreeRDP 存在多个漏洞,去年 2019 月,微软远程桌面服务中发现了一个严重漏洞 CVE-0708-XNUMX,该漏洞允许在受害者计算机上执行任意代码、引入恶意软件等。 甚至还分发了有关她的时事通讯 ,例如 Cisco Talos 针对它的防护建议。
还有一个利用冠状病毒主题的例子——如果受害者的家人拒绝用比特币支付赎金,他们就会受到感染的真正威胁。 为了增强效果,赋予这封信以意义,并营造一种勒索者无所不能的感觉,从登录名和密码的公共数据库中获取受害者的一个帐户的密码,被插入到信件的文本中。
在上面的一个示例中,我展示了来自世界卫生组织的网络钓鱼消息。 这是另一个例子,其中用户被要求提供经济帮助来对抗 COVID-19(尽管在信件正文的标题中,“捐赠”一词立即引人注目)。他们请求比特币帮助以防止感染加密货币跟踪。
如今,这样利用用户同情心的例子还有很多:
比特币以另一种方式与 COVID-19 相关。 例如,这就是许多坐在家里无法赚钱的英国公民收到的邮件的样子(现在在俄罗斯这也将变得相关)。
这些邮件伪装成知名报纸和新闻网站,通过在特殊网站上挖掘加密货币来轻松赚钱。 事实上,一段时间后,你会收到一条消息,说你赚到的金额可以提取到一个特殊账户,但在此之前你需要转入少量税款。 显然,骗子在收到这笔钱后,并没有转移任何回报,而轻信的用户则损失了转移的资金。
还有另一个与世界卫生组织相关的威胁。 黑客侵入了家庭用户和小型企业经常使用的 D-Link 和 Linksys 路由器的 DNS 设置,以便将他们重定向到一个虚假网站,并弹出一个关于需要安装 WHO 应用程序的警告,这将阻止他们了解有关冠状病毒的最新消息。 此外,该应用程序本身还包含窃取信息的恶意程序Oski。
Android 特洛伊木马 CovidLock 利用了与包含 COVID-19 感染当前状态的应用程序类似的想法,该木马通过据称经过美国教育部、世界卫生组织和流行病控制中心“认证”的应用程序进行分发( CDC)。
如今,许多用户处于自我隔离状态,不愿意或无法做饭,而是积极使用食品、杂货或卫生纸等其他商品的送货服务。 攻击者也为了自己的目的而掌握了这个向量。 例如,这就是恶意网站的样子,类似于加拿大邮政拥有的合法资源。 受害者收到的短信链接指向一个网站,报告称所订购的产品无法交付,因为只缺少 3 美元,必须额外支付。 在这种情况下,用户将被定向到一个页面,他必须在其中指明其信用卡的详细信息……以及随之而来的所有后果。
最后,我想再举两个与 COVID-19 相关的网络威胁的例子。 例如,使用流行的 WordPress 引擎将插件“COVID-19 冠状病毒 - 实时地图 WordPress 插件”、“冠状病毒传播预测图”或“Covid-19”内置到网站中,并显示冠状病毒传播的地图。冠状病毒,还包含 WP-VCD 恶意软件。 随着在线活动数量的增长,Zoom 公司变得非常非常受欢迎,但它也面临着专家所说的“Zoombombing”。 攻击者实际上是普通的色情巨魔,他们连接到在线聊天和在线会议,并展示各种淫秽视频。 顺便说一句,俄罗斯公司今天也遇到了类似的威胁。
我认为我们大多数人都会定期查看有关大流行当前状况的各种资源,包括官方资源和非官方资源。 攻击者正在利用这个主题,向我们提供有关冠状病毒的“最新”信息,包括“当局向您隐瞒的信息”。 但即使是普通的普通用户最近也经常通过发送“熟人”和“朋友”的经过验证的事实代码来帮助攻击者。 心理学家表示,“危言耸听”的用户发出的所有进入其视野的信息(特别是在社交网络和即时通讯工具中,这些工具没有针对此类威胁的保护机制)的这种活动,让他们感觉自己参与了对抗病毒的斗争。一个全球性的威胁,甚至感觉像是拯救世界免受冠状病毒侵害的英雄。 但不幸的是,由于缺乏专业知识,这些良好的意图“将每个人引向地狱”,造成新的网络安全威胁并扩大受害者数量。
事实上,我可以继续举一些与冠状病毒相关的网络威胁的例子; 此外,网络犯罪分子并没有停滞不前,他们想出了越来越多的新方法来利用人类的激情。 但我认为我们可以就此打住。 情况已经很清楚了,它告诉我们,在不久的将来,情况只会变得更糟。 昨天,莫斯科当局对这座拥有千万人口的城市实行自我隔离。 莫斯科地区和俄罗斯许多其他地区以及我们在前苏联地区最近邻国的当局也做了同样的事情。 这意味着网络犯罪分子瞄准的潜在受害者数量将增加数倍。 因此,不仅值得重新考虑您的安全策略(直到最近,该策略还只专注于保护公司或部门网络)并评估您缺乏哪些保护工具,而且还值得考虑您的人员意识计划中给出的示例,即成为远程工作者信息安全系统的重要组成部分。 A 准备好帮助您了!
附言。 在准备本材料时,使用了来自 Cisco Talos、Naked Security、Anti-Phishing、Malwarebytes Lab、ZoneAlarm、Reason Security 和 RiskIQ 公司、美国司法部、Bleeping Computer resources、SecurityAffairs 等的材料。
来源: habr.com