今天,冠狀病毒的主題已經充斥了所有新聞源,也成為攻擊者利用 COVID-19 主題以及與之相關的一切活動進行各種活動的主要主題。在這篇筆記中,我想提請注意此類惡意活動的一些示例,當然,這對於許多資訊安全專家來說並不是秘密,但在一篇筆記中對其進行總結將使您更容易做好自己的認識- 為員工舉辦活動,其中一些人遠距工作,有些人比以前更容易受到各種資訊安全威脅。
不明飛行物的一分鐘關懷
全球已正式宣布 COVID-19 為大流行病,這是一種由 SARS-CoV-2 冠狀病毒 (2019-nCoV) 引起的潛在嚴重急性呼吸道感染。關於這個主題,有很多關於哈布雷的資訊 - 永遠記住,它可以既可靠又有用,反之亦然。
我們鼓勵您對發布的任何資訊持批評態度。
官方來源
- 各地區營運總部的網站和官方群組
如果您不住在俄羅斯,請參閱您所在國家/地區的類似網站。
勤洗手、照顧親人、盡可能待在家裡並遠距工作。閱讀有關以下內容的出版物: |
應該指出的是,目前還沒有與冠狀病毒相關的全新威脅。相反,我們談論的是已經成為傳統的攻擊媒介,只是用於新的「醬汁」。因此,我將威脅的主要類型稱為:
- 與冠狀病毒及相關惡意程式碼相關的網路釣魚網站及新聞通訊
- 旨在利用 COVID-19 的恐懼或不完整資訊的詐欺和虛假資訊
- 針對參與冠狀病毒研究的組織的攻擊
在俄羅斯,公民傳統上不信任當局,並認為他們向當局隱瞞真相,成功「推廣」網路釣魚網站和郵件列表以及欺詐性資源的可能性比開放程度更高的國家要高得多當局。儘管今天沒有人可以認為自己完全免受創意網路詐欺者的侵害,這些詐欺者利用了一個人所有典型的人類弱點——恐懼、同情心、貪婪等。
以銷售醫用口罩的詐欺網站為例。
類似的網站 CoronavirusMedicalkit[.]com 因免費分發一種不存在的 COVID-19 疫苗而被美國當局關閉,並且「僅」郵資運送該藥物。在這種情況下,如此低的價格,是為了應對美國恐慌情況下對該藥的搶購需求。
這不是典型的網路威脅,因為在這種情況下,攻擊者的任務不是感染用戶或竊取他們的個人資料或身分資訊,而只是利用恐懼情緒迫使他們以高價購買醫用口罩超出實際成本的5-10 -30倍。但利用冠狀病毒主題創建虛假網站的想法也被網路犯罪分子所利用。例如,這是一個名稱包含關鍵字「covid19」的網站,但它也是一個釣魚網站。
一般來說,日常監控我們的事件調查服務 ,您會看到有多少個網域包含 covid、covid19、coronavirus 等字的網域。其中許多是惡意的。
在公司的一些員工被調到家裡工作並且不受公司安全措施保護的環境中,監控從員工的移動和桌面設備訪問的資源(無論他們是否知情)比以往任何時候都更加重要。知識。如果您不使用該服務 偵測並阻止此類網域(以及思科 現在可以免費連接到該服務),然後至少配置您的 Web 存取監控解決方案以監控具有相關關鍵字的網域。同時,請記住,將網域列入黑名單以及使用信譽資料庫的傳統方法可能會失敗,因為惡意網域的建立速度非常快,並且僅在不超過幾個小時的時間內用於1-2 次攻擊- 然後攻擊者切換到新的臨時域。資安公司根本沒有時間快速更新其知識庫並將其分發給所有客戶。
攻擊者繼續積極利用電子郵件通道來分發網路釣魚連結和附件中的惡意軟體。它們的有效性非常高,因為使用者雖然收到有關冠狀病毒的完全合法的新聞郵件,但並非總是能識別出其中的惡意內容。雖然感染人數只會增加,但此類威脅的範圍只會擴大。
例如,代表 CDC 的網路釣魚電子郵件範例如下所示:
當然,點擊該連結不會進入 CDC 網站,而是進入一個竊取受害者登入名稱和密碼的虛假頁面:
以下是據稱代表世界衛生組織的網路釣魚電子郵件的範例:
在這個例子中,攻擊者指望這樣一個事實,即許多人認為當局向他們隱瞞了感染的真實規模,因此用戶高興地、幾乎毫不猶豫地點擊這些類型的帶有惡意鏈接或附件的信件,據說會揭露所有秘密。
順便說一句,有這樣一個網站 ,它允許您追蹤各種指標,例如死亡率、吸煙者數量、不同國家的人口等。該網站還有一個專門針對冠狀病毒的頁面。因此,當我在 16 月 XNUMX 日訪問它時,我看到一個頁面,一度讓我懷疑當局是否告訴了我們真相(我不知道這些數字的原因是什麼,也許只是一個錯誤):
Emotet 是攻擊者用來發送類似電子郵件的熱門基礎設施之一,它是近年來最危險和最受歡迎的威脅之一。電子郵件中附加的 Word 文件包含 Emotet 下載程序,該下載程序會將新的惡意模組載入到受害者的電腦上。 Emotet 最初用於宣傳銷售醫用口罩的詐欺網站的鏈接,目標是日本居民。下面您可以看到使用沙箱分析惡意檔案的結果 ,它分析文件的惡意性。
但攻擊者不僅利用 MS Word 中的啟動功能,還利用其他 Microsoft 應用程式的啟動功能,例如 MS Excel(APT36 駭客組織就是這樣做的),發送印度政府關於對抗冠狀病毒的建議,其中包含 Crimson鼠:
另一種利用冠狀病毒主題的惡意活動是 Nanocore RAT,它允許您在受害者電腦上安裝程式以進行遠端存取、攔截鍵盤敲擊、捕獲螢幕影像、存取檔案等。
Nanocore RAT 通常透過電子郵件發送。例如,您可以在下方看到一個範例郵件訊息,其中附加了包含可執行 PIF 檔案的 ZIP 檔案。透過點擊可執行文件,受害者在其電腦上安裝遠端存取程式(遠端存取工具,RAT)。
這是寄生於 COVID-19 主題的活動的另一個例子。用戶收到一封關於因冠狀病毒而導致交貨延遲的信件,並附有擴展名為 .pdf.ace 的發票。壓縮存檔內包含可執行內容,可建立與命令和控制伺服器的連線以接收其他命令並執行其他攻擊者目標。
Parallax RAT 具有類似的功能,它會分發名為「新感染的 CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif」的文件,並安裝一個透過 DNS 協定與其命令伺服器互動的惡意程式。 EDR 類別保護工具,其中一個範例是 ,並且任一 NGFW 將協助監控與命令伺服器的通訊(例如, ),或 DNS 監控工具(例如, ).
在下面的範例中,遠端存取惡意軟體安裝在受害者的電腦上,由於某種未知的原因,受害者購買了廣告,稱安裝在 PC 上的常規防毒程式可以防範真正的 COVID-19。畢竟,有人上當了這樣看似玩笑的事情。
但在惡意軟體中也有一些非常奇怪的事情。例如,模仿勒索軟體工作的笑話檔案。在一個案例中,我們的 Cisco Talos 部門 名為 CoronaVirus.exe 的文件,該文件在執行過程中會阻塞螢幕並啟動計時器並顯示訊息「刪除此電腦上的所有檔案和資料夾 - 冠狀病毒」。
倒數計時完成後,底部的按鈕變為活動狀態,按下時會顯示以下訊息,說這只是個玩笑,您應該按 Alt+F12 來結束程式。
對抗惡意郵件的鬥爭可以自動化,例如使用 ,它不僅可以讓您檢測附件中的惡意內容,還可以追蹤網路釣魚連結及其點擊情況。但即使在這種情況下,您也不應該忘記培訓用戶並定期進行網路釣魚模擬和網路演習,這將使用戶為攻擊者針對您的用戶的各種伎倆做好準備。特別是如果他們透過個人電子郵件遠端工作,惡意程式碼可能會滲透到公司或部門網路中。在這裡我可以推薦一個新的解決方案 ,不僅可以對人員進行資訊安全問題的微觀和奈米培訓,還可以為他們組織網路釣魚模擬。
但是,如果由於某種原因您還沒有準備好使用此類解決方案,那麼至少值得定期向您的員工發送郵件,提醒其網絡釣魚危險、其示例以及安全行為規則列表(主要是攻擊者不會將自己偽裝成他們)。順便說一句,目前可能的風險之一是偽裝成管理層信件的網路釣魚郵件,據稱這些郵件談論遠端工作的新規則和程序、必須在遠端電腦上安裝的強制軟體等。不要忘記,除了電子郵件之外,網路犯罪分子還可以使用即時通訊工具和社交網路。
在這種郵寄或提高意識的計劃中,您還可以包括已經很經典的假冠狀病毒感染地圖示例,該示例類似於 約翰霍普金斯大學。不同之處 問題是,當訪問網路釣魚網站時,使用者的電腦上會安裝惡意軟體,該惡意軟體會竊取使用者帳戶資訊並將其發送給網路犯罪分子。此類程式的一個版本還創建了 RDP 連接,用於遠端存取受害者的電腦。
順便說一下RDP。這是攻擊者在冠狀病毒大流行期間開始更積極使用的另一個攻擊媒介。許多公司在轉向遠端工作時會使用 RDP 等服務,如果由於倉促而導致配置錯誤,可能會導致攻擊者滲透到遠端用戶電腦和公司基礎設施內部。此外,即使配置正確,各種 RDP 實作也可能存在可供攻擊者利用的漏洞。例如,思科 Talos FreeRDP 存在多個漏洞,去年 2019 月,微軟遠端桌面服務中發現了一個嚴重漏洞 CVE-0708-XNUMX,該漏洞允許在受害者電腦上執行任意程式碼、引入惡意軟體等。甚至還分發了有關她的時事通訊 ,例如 Cisco Talos 針對它的防護建議。
還有一個利用冠狀病毒主題的例子——如果受害者的家人拒絕用比特幣支付贖金,他們就會受到感染的真正威脅。為了增強效果,賦予這封信意義,並營造一種勒索者無所不能的感覺,從登入名稱和密碼的公共資料庫中獲取受害者的一個帳戶的密碼,被插入到信件的文本中。
在上面的一個範例中,我展示了來自世界衛生組織的網路釣魚訊息。這是另一個例子,其中用戶被要求提供經濟援助來對抗 COVID-19(儘管在信件正文的標題中,“捐贈”一詞立即引人注目)。他們請求比特幣幫助以防止感染加密貨幣跟踪。
如今,這樣利用用戶同情心的例子還有很多:
比特幣以另一種方式與 COVID-19 相關。例如,這就是許多坐在家裡無法賺錢的英國公民收到的郵件的樣子(現在在俄羅斯這也將變得相關)。
這些郵件偽裝成知名報紙和新聞網站,透過在特殊網站上挖掘加密貨幣來輕鬆賺錢。事實上,一段時間後,你會收到一條訊息,說你賺到的金額可以提取到一個特殊帳戶,但在此之前你需要轉入少量稅款。顯然,騙子在收到這筆錢後,並沒有轉移任何回報,而輕信的用戶則損失了轉移的資金。
還有另一個與世界衛生組織相關的威脅。駭客入侵了家庭用戶和小型企業經常使用的 D-Link 和 Linksys 路由器的 DNS 設置,以便將他們重定向到一個虛假網站,並彈出一個關於需要安裝 WHO 應用程式的警告,這將阻止他們了解有關冠狀病毒的最新消息。此外,該應用程式本身還包含竊取資訊的惡意程式Oski。
Android 特洛伊木馬 CovidLock 利用了與包含 COVID-19 感染當前狀態的應用程式類似的想法,該木馬透過據稱經過美國教育部、世界衛生組織和流行病控制中心「認證」的應用程式進行分發( CDC) 。
如今,許多用戶處於自我隔離狀態,不願意或無法做飯,而是積極使用食品、雜貨或衛生紙等其他商品的送貨服務。攻擊者也為了自己的目的而掌握了這個向量。例如,這就是惡意網站的樣子,類似加拿大郵政擁有的合法資源。受害者收到的簡訊連結指向一個網站,報告稱所訂購的產品無法交付,因為只缺少 3 美元,必須額外支付。在這種情況下,用戶將被導向到一個頁面,他必須在其中指明其信用卡的詳細資訊…以及隨之而來的所有後果。
最後,我想再舉兩個與 COVID-19 相關的網路威脅的例子。例如,使用流行的 WordPress 引擎將外掛程式「COVID-19 冠狀病毒 - 即時地圖 WordPress 外掛程式」、「冠狀病毒傳播預測圖」或「Covid-19」內建到網站中,並顯示冠狀病毒傳播的地圖。冠狀病毒,也包含WP-VCD 惡意軟體。隨著線上活動數量的成長,Zoom 公司變得非常非常受歡迎,但它也面臨專家所說的「Zoombombing」。攻擊者實際上是普通的色情巨魔,他們連接到線上聊天和線上會議,並展示各種淫穢影片。順便說一句,俄羅斯公司今天也遇到了類似的威脅。
我認為我們大多數人都會定期查看各種有關疫情當前狀況的資源,包括官方資源和非官方資源。攻擊者正在利用這個主題,向我們提供有關冠狀病毒的“最新”信息,包括“當局向您隱藏的信息”。但即使是普通的普通用戶最近也經常透過發送「熟人」和「朋友」的經過驗證的事實代碼來幫助攻擊者。心理學家表示,「危言聳聽」的用戶發出的所有進入其視野的訊息(特別是在社交網路和即時通訊工具中,這些工具沒有針對此類威脅的保護機制)的這種活動,讓他們感覺自己參與了對抗病毒的鬥爭。一個全球性的威脅,甚至感覺像是拯救世界免受冠狀病毒侵害的英雄。但不幸的是,由於缺乏專業知識,這些良好的意圖“將每個人引向地獄”,造成新的網路安全威脅並擴大受害者數量。
事實上,我可以繼續舉一些與冠狀病毒相關的網路威脅的例子;此外,網路犯罪分子並沒有停滯不前,他們想出了越來越多的新方法來利用人類的激情。但我認為我們可以就此打住。情況已經很清楚了,它告訴我們,在不久的將來,情況只會變得更糟。昨天,莫斯科當局對這座擁有千萬人口的城市實施自我隔離。莫斯科地區和俄羅斯許多其他地區以及我們在前蘇聯地區最近鄰國的當局也做了同樣的事情。這意味著網路犯罪分子瞄準的潛在受害者數量將增加數倍。因此,不僅值得重新考慮您的安全策略(直到最近,該策略只專注於保護公司或部門網路)並評估您缺乏哪些保護工具,而且還值得考慮您的人員意識計劃中給出的示例,即成為遠端工作者資訊安全系統的重要組成部分。 A 準備好幫助您了!
附言。在準備本資料時,使用了來自 Cisco Talos、Naked Security、Anti-Phishing、Malwarebytes Lab、ZoneAlarm、Reason Security 和 RiskIQ 公司、美國司法部、Bleeping Computer resources、SecurityAffairs 等的資料。
來源: www.habr.com