您的位置:首页>>电脑软件

社会工程学在网络安全中的崛起:快捷方式竟成黑客“钓鱼”工具!

发布时间:2020-03-14 19:29:38  来源:互联网    背景:

  日常工作中,电脑桌面和开始菜单中的快捷方式对于大家来说并不陌生,点击之后就可进入相应的应用程序。由于快捷方式自身不是可执行文件,多数情况只起到了跳转作用,同时在大多数用户惯性思维的加持下,很容易让人放松安全警惕。即使在点击后,杀毒软件提示发现病毒,但仍然会有用户手动信任,甚至临时关闭杀毒软件。

  近日,360安全大脑就检测到一批特殊的快捷方式,其利用社会工程学进行别有用心的伪装后,大肆实施钓鱼攻击。该类钓鱼病毒不仅具备与快捷方式极其相似的高隐蔽性;同时因为其多使用脚本语言开发,所以也拥有着开发周期短和易混淆的特点;而且由于其一般不需要考虑环境和版本差异,使得无数用户频繁中招。

图片1.jpg

  那么,如何才能不被这些披着快捷方式外衣的钓鱼病毒欺骗呢?在此,360安全大脑就为大家拆穿一些常见花招。

  招式一:表里不一

  试想,如果看到一份“外貌”正常的文档图标,你会对它进行防备么?而事实上,此类表里不一的伪装却可能是快捷方式病毒最常用的伎俩。将恶意程序和快捷方式放在同一目录下,并使用docx后缀和文档图标进行伪装,很容易让用户觉得这就是一个普通文档。

图片2.jpg

  然而,如果你信以为真,就意味着将不幸中招了。经分析,这个伪装成文档的快捷方式实际执行的命令,是通过cmd执行目录下一个修改了后缀的可执行文件svchost.rtf,而此文件正是远控木马。

图片3.jpg

  同样,变幻多端的快捷方式病毒,也可能伪装成常用的文件夹图标。如下图,同一个zip压缩包里包含了一个修改为文件夹图标的快捷方式,和一个通过后缀名改为jpg伪装成图片的隐藏可执行文件。

图片4.jpg

  如果稍不慎双击打开了伪装的文件夹快捷方式,则会通过执行如下命令,最终运行名称伪装为JPG图片的木马程序。

图片5.jpg

  由此可见,该类手法就是利用了用户通过图标含义理解文件类型的思维习惯,来实施攻击。所以,当我们接收到陌生可疑文件或文件夹时,不妨注意以下几点:

  1)右键查看快捷方式“属性”--“目标”一栏里是否有可疑字符串,确保与期待的目标文件相一致;

  2)观察快捷方式同目录下是否存在其他可疑文件或者隐藏文件,若存在需确认是否为危险文件。

  招式二:绵里藏针

  除了要当心压缩包里同时包含快捷方式和隐藏文件的情况之外,如果压缩包里只有一个快捷方式也不要掉以轻心,因为恶意脚本或者资源可以全部内嵌到快捷方式中。如下图,该病毒将名称伪装成图片Credit Card Back.jpg,图标却伪装成了docx文档。

图片6.jpg

  通过查看快捷方式的目标属性就可发现,这明显不是普通的快捷方式,而这段代码的主要功能是最终释放具有执行远程命令、盗取隐私等木马行为的JS文件。

图片7.jpg

  面对这种绵里藏针的钓鱼快捷方式病毒,用户只要保持警惕性,实际很容易识破,因为恶意代码都嵌入在快捷方式中,所以最终的快捷方式文件通常比较大,如果发现文件大小异常或者查看属性发现有可疑字符串,那就一定要当心了。

  招式三:藏形匿影

  基于脚本语言的特点,一些快捷方式病毒会利用各种方式,将核心代码“隐藏起来”,而这些为了躲避杀毒软件检测的“潜伏”手段则是花样百出。

  有的不法分子会通过超长命令行,来隐藏数据。

图片8.jpg

  该快捷方式指向一段CMD命令,使用环境变量进行解密后的命令如下图所示:

图片9.jpg

  但是,命令开启mshta.exe后,没有任何参数,也不会运行任何脚本,那其它数据到底藏到了哪里呢?

  原来,在Windows系统中属性的“目标”只能查看260个字符,而命令行参数的最大长度为4096个字符,恶意文件正是利用这个特性隐藏了位于260个字符以后的数据。通过对完整代码解密后便会发现,该代码主要是在通过打开诱饵文档蒙蔽用户后,加载恶意代码。

图片10.jpg

  有的不法分子则会对嵌入的脚本进行高强度混淆,不免让人头晕目眩。

图片11.jpg

  然而,从经过多次去除混淆得到最终的脚本代码中可以看出,该代码最终将通过CMD执行恶意PowerShell脚本。

图片12.jpg

  还有的不法分子会将快捷方式病毒同攻击载荷打包到一个压缩文件,压缩文件末尾添加有附加数据。

图片13.jpg

  如上图,压缩包里面有两个文件,一个是正常PDF文档,另一个为伪装成图片的快捷方式。如果打开快捷方式,则会通过执行如下命令来释放恶意脚本,最后还会打开正常PDF文件迷惑用户。

图片14.jpg

  而面对以上这些藏形匿影的钓鱼快捷方式病毒,大家尽可以注意以下几点,以实现见招拆招:

  1)单一快捷方式可以检查文件大小,正常快捷方式只有几K大小,体积过大请勿执行;

  2)压缩包中的快捷方式可以先解压,然后查看快捷方式是否通过CMD执行同目录的其他文件。

  招式四:声东击西

  看过以上招式后,如果你觉得仅通过判断目标文件,就能识别快捷方式病毒的话,那你就大错特错了。部分攻击者也会通过Link Resolution机制来重定位目标,这种情况下,乍一看指向的目标文件不存在,实际上是在声东击西迷惑用户。

图片15.jpg

  在快捷方式的文件结构中有一个RELATIVE_PATH字段,如果存在这样的值,打开快捷方式就会尝试修复快捷方式的指向。如下快捷方式的RELATIVE_PATH值为.\DeviceConfigManager.vbs,执行时会被修复为当前目录下的VBS脚本文件,而这,恰恰就为病毒的释放提供了执行路径。

图片16.jpg

  所以,在面对该类声东击西的快捷方式病毒之时,大家切记要对其中暗藏的杀机加以防范,在点击开启前:

  1)可以首先右键查看快捷方式“属性”,并查看其“目标”指向的文件是否存在;

  2)若不存在此文件,还需要判断快捷方式同目录下的文件与其指向的文件是否具有相同文件名,若存在此种情况,需要高度警惕,否则极易中招。

  纵观以上案例后不难发现,快捷方式病毒既可以通过内嵌脚本执行恶意功能,也可以通过调用指向的文件来进行攻击,形式灵活,手段多变。最重要的是,不法分子主要利用了用户的认知习惯,使得该类攻击方式极具威胁。

  而事实上,著名黑客凯文·米特尼克在其著作《欺骗的艺术》就曾提到,人为因素才是安全的软肋,就此也提出了社会工程学的概念。不同于找到存在于程序或者服务器之内的漏洞以攻克目标的方式,社会工程学则是利用人性弱点这一安全漏洞,通过欺骗受害者的手段来实施对计算机系统的网络攻击。甚至在有些情况下,往往一些技术并不复杂的攻击方式,反而因此而屡试不爽。

  所以,在明白“人是网络安全中的薄弱环节”这一道理后,广大用户一定要时刻谨记提高网络安全防范意识,以避免为不法分子提供可乘之机。除此之外,大家也可以及时前往weishi.360.cn下载安装360安全卫士,在360安全大脑的极智赋能下,360安全卫士可全面拦截各类钓鱼木马攻击,心动的小伙伴不妨亲自一试。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
社会工程学在网络安全中的崛起:快捷方式竟成黑客“钓鱼”工具!
日常工作中,电脑桌面和开始菜单中的快捷方式对于大家来说并不陌生,点击之后就可进入相应的应用程...
日期:03-14
为何经过40多年的发展关系型数据库依然是主流?OceanBase 2.2免费体验
蚂蚁金服近期开展的 “共战‘疫情’,技术破局”数字课堂线上直播系列演讲我们...
日期:03-12
微软 Edge 比其他浏览器具有更多侵犯隐私的遥测
来自爱尔兰都柏林三一学院的计算机科学与统计学院的Douglas J Leith 团队近期进行了一项研究,分别...
日期:03-11
Firefox 74稳定版发布:禁止访问TLS 1.0/1.1的HTTPS网站
适用于Windows、macOS和GNU/Linux桌面平台,Mozilla今天刚刚发布了Firefox 74版本更新,目前用户可...
日期:03-10
谷歌Chrome 82添加画中画按钮:可一边看视频一边看网页
3月4日消息,据XDA报道,谷歌Chrome 82正在测试新功能。
日期:03-04
微软公布Chromium版Edge浏览器路线图,Linux支持在计划中
微软公布了基于 Chromium的Edge浏览器的路线图。路线图包括已计划的、还在讨论的、正在审核的以及尚...
日期:02-18
开启全新篇章:微软称Edge v81性能提升13%
Microsoft Edge团队于日前发布了一篇有关性能提升的博客表示,“从64位Windows 10上的Microsof...
日期:02-17
王牌对决:Firefox 73 vs. Chrome 80
本周 Firefox 73稳定版已经发布,同时Firefox 74开始进入测试版状态,Phoronix网站的创始人和主要作...
日期:02-14
你家附近有确诊病例吗?搜狗“确诊患者小区查询”一查便知!
当前,全国新型冠状病毒感染的肺炎疫情防控战已进入攻坚阶段。从目前各地区卫健委报告的数据来看,...
日期:02-09
孕妈妈和小婴儿能不出门就不出门!企业微信线上问诊,试试!
病毒肆虐,相信不少孕妇和妈妈都很担心,假如要产检、婴儿要复查怎么办?现在的形势下还能到医院去吗...
日期:02-09
微软今发布全新Edge 80版浏览器:增Surface Pro X等ARM64设备支持
2月8日消息 微软今日发布了Edge 80版本,其中最重要的功能便是对Surface Pro X等设备ARM64的支持。
日期:02-08
火狐Firefox Preview安卓版新增支持扩展
Firefox Preview是Mozilla在2019年上半年推出的全新Android Web浏览器。该浏览器的渲染引擎 GeckoVi...
日期:02-06
在没有开始菜单的情况下可以使用Windows 10吗?
2月6日消息 微软已于近期停止了对Windows 7的支持,与此同时微软也尝试在Windows 10中以开始菜单为...
日期:02-06
Windows 10部分用户遭遇KB4532695补丁蓝屏死机Bug
2月5日消息 对于某些用户来说,遇到了Windows 10的可选累积补丁更新KB4532695导致蓝屏死机或BSOD严...
日期:02-05
想要潮,就去得物(毒)APP瞧一瞧
鄙人不才,自认为也是潮流圈的一个弄潮儿,身边也有众多潮流圈好友,不管我们风格如何迥异,大家却都有...
日期:02-05
新冠疫情来袭 金山文档助力高效远程办公
据国家卫健委统计,截至1月30日24时,国家卫生健康委收到31个省(自治区、直辖市)和新疆生产建设兵团...
日期:01-31
内容生产工具开启革新,设计师的春天到了?
一直以来,以创意为生的内容创作者都被创作工具的性能所困扰着,在实现创意的过程中,因为创作工具...
日期:01-23
微软全新Chromium版Edge浏览器正式版发布
1月16日消息 早在2018年12月,微软宣布打算基于Chromium开源项目开发新版本的Edge浏览器。微软的目...
日期:01-16
微软Windows 7停更!Win 10再香,仍有近5亿人“死守”Win 7
属于Windows 7的时代结束了。
  今天,微软正式停止了对Windows 7系统的更新维护服务。服务...
日期:01-14
数科网维OFD版式软件全面适配统一操作系统UOS
近日,数科OFD软件产品在龙芯、飞腾、兆芯、鲲鹏等CPU平台完成了与统一操作系统UOS的全面适配。在统...
日期:01-08
  专栏介绍
即时新闻 的专栏
即时新闻发表的文章
积分:
自我介绍 :