鱼叉式钓鱼附件
鱼叉式钓鱼附件与其他形式的鱼叉式钓鱼不同,因为它采用使用附加到电子邮件的恶意软件。所有形式的鱼叉式钓鱼都是电子方式提供的针对特定的个人,公司或行业的社会工程。在这种情况下,攻击者将文件附加到鱼叉式钓鱼电子邮件,并通常依赖于用户执行以获得执行。附件有许多选项,例如Microsoft Office文档,可执行文件,PDF或存档文件。在打开附件(并且可能点击过去的保护)后,攻击者的有效负载利用漏洞或直接在用户的系统上执行。 鱼叉式钓鱼电子邮件的文本通常试图给出一个文件应被打开的合理理由,并且可能说明这样做需要如何绕过系统保护。电子邮件还可能包含有关如何解密附件,例如ZIP文件密码,以避免电子邮件边界防御。攻击者经常操作文件扩展和图标,以便使附加可执行文件显示为文档文件,或者利用一个应用程序显示为文件的文件。
缓解
反病毒还可以自动隔离可疑文件。
可以使用网络入侵防御系统和用于扫描和删除恶意电子邮件附件系统来拦截活动。
解决方案可以是基于签名和行为的,但是攻击者可能以某种方式构造附件来绕过这些机制。拦截在默认情况下不应通过电子邮件进行传输的未知或未使用的附件,作为防止某些载体的最佳实践,例如。.scr,.exe, .pif, .cpl 等,一些电子邮件扫描设备可以打开并分析压缩和加密格式,如可能用来隐藏在混淆恶意附件文件或信息的 zip 和 rar。 这种技术涉及到在终端上与用户交互,因此难以完全缓解。 然而,也有潜在的缓解措施。 可以培训用户,使其能够识别社会工程技术和钓鱼邮件。 以使用应用程序白名单阻止下载附件的执行 杀毒软件还可以自动隔离可疑文件。
使用反欺骗和电子邮件身份验证机制根据发件人域(使用SPF)的有效性检查和消息的完整性(使用DKIM)来过滤消息。使组织内的这些机制(通过策略如DMARC)可以使接收者(组织内部和跨域)来执行类似的消息的过滤和验证。
检测
网络入侵检测系统和电子邮件网关,可以用来检测带有恶意附件的鱼叉式网络钓鱼。引爆设计也可被用于识别恶意附件。解决方案可以签名和基于行为,但攻击者可能可能以某种方式构造附件来避免这些机制。
滤波基于DKIM + SPF或标题分析可以帮助当电子邮件发送者是欺骗性的检测。
杀毒软件在扫描存储在电子邮件服务器或用户计算机上文件时,有可能检测恶意文件和附件。终端检测或网络检测可以打开附件(如Microsoft Word文档或PDF深入到互联网或生成Powershell.exe)时潜在的检测恶意事件,这些事件与客户端执行或脚本的漏洞利用等技术相关。
监视器从Microsoft Office可疑子孙进程产生和其他办公软件