恶意虚拟硬盘驱动器成为钓鱼攻击新手段
关键要点
恶意虚拟硬盘文件正在逐渐成为网络攻击者用于传播恶意软件的工具。这些文件通过隐藏在电子邮件中的压缩包或下载链接传播,以绕过电子邮件网关和杀毒软件的防护。研究表明,许多杀毒软件对恶意虚拟硬盘文件的检测效果不佳。提醒员工注意具有可疑特征的虚拟硬盘文件,并在安全培训中强调不点击意外附件的重要性。根据Cofense的一项研究,网络攻击者逐渐利用恶意虚拟硬盘来分发恶意软件,以躲避日益有效的电子邮件网关,这些网关能够检测到感染的文档、电子表格和PDF文件。Cofense的研究人员在星期二警告信息安全防御者:“虽然vhd和vhdx格式的虚拟硬盘文件通常用于虚拟机,但它们同样可以在Windows中打开,将虚拟镜像挂载为物理卷。”
快喵加速器免费安装下载攻击者通过发送包含恶意虚拟硬盘文件的zip压缩包附件或者附有下载链接的钓鱼链接来引诱潜在受害者。受害者可能会被误导,运行其中的恶意载荷。
另一种策略是配置虚拟硬盘使文件在Windows中通过AutoRun自动执行。然而,从Windows Vista开始,文件不会自动运行,用户会看到要求批准的提示。
根据研究显示,今年的钓鱼活动主要分发的是Remcos远程访问木马RAT和/或XWorm RAT。Cofense还指出,在一项电子邮件活动中,一些恶意虚拟硬盘文件甚至突破了Cisco Systems、FireEye和Proofpoint的网关保护。在这些情况下,恶意文件虽然被扫描但未被标记为恶意,或者被认为不是垃圾邮件。
表格:钓鱼攻击的特征
特征描述文件格式恶意虚拟硬盘文件vhd/vhdx传播方式zip压缩包附件或下载链接自动执行Windows系统中的AutoRun特性检测效果大部分杀毒软件未能识别恶意文件研究中还指出,恶意虚拟硬盘文件在逃避绝大多数杀毒解决方案的检测方面表现惊人。在Cofense使用VirusTotal扫描的测试中,其中62种杀毒引擎中仅有一款成功标记了恶意文件。
使用恶意虚拟硬盘文件的行为并不新鲜:在2019年的一项研究中,测试人员在VirusTotal上使用59款杀毒引擎对这些文件进行测试,结果只有四款识别出这些文件为恶意。
信息安全领导者需要在员工的安全意识培训中添加关于恶意虚拟硬盘的警示,提醒员工不要点击意外附件。从员工的角度来看,这些附件可能看起来像文件。员工还需要被提醒在没有批准的情况下不要允许AutoRun命令执行。
识别特征
Cofense情报团队的成员Kahng An在电子邮件采访中提到这种攻击的明显特征:“一般来说,虚拟硬盘文件应该是相当大的,因为它们用于存储大量信息。”因此,“尤其小的虚拟硬盘文件应该引起怀疑,因为它们可能没有被适当使用。此外,电子邮件通常不适合传输大型文件,因此即使是附带的虚拟硬盘文件也应持怀疑态度,无论其大小如何。
从缓解风险的角度来看,可能有必要移除大多数用户工作站上各种虚拟硬盘文件扩展名如vhd和iso的文件关联。组织中的普通用户可能不需要使用虚拟硬盘文件,而确实有需要的用户则可以在需要时恢复文件关联
