您的位置:首页>>电脑软件

社会工程学在网络安全中的崛起:快捷方式竟成黑客“钓鱼”工具!

发布时间:2020-03-14 19:29:38  来源:互联网    背景:

  日常工作中,电脑桌面和开始菜单中的快捷方式对于大家来说并不陌生,点击之后就可进入相应的应用程序。由于快捷方式自身不是可执行文件,多数情况只起到了跳转作用,同时在大多数用户惯性思维的加持下,很容易让人放松安全警惕。即使在点击后,杀毒软件提示发现病毒,但仍然会有用户手动信任,甚至临时关闭杀毒软件。

  近日,360安全大脑就检测到一批特殊的快捷方式,其利用社会工程学进行别有用心的伪装后,大肆实施钓鱼攻击。该类钓鱼病毒不仅具备与快捷方式极其相似的高隐蔽性;同时因为其多使用脚本语言开发,所以也拥有着开发周期短和易混淆的特点;而且由于其一般不需要考虑环境和版本差异,使得无数用户频繁中招。

图片1.jpg

  那么,如何才能不被这些披着快捷方式外衣的钓鱼病毒欺骗呢?在此,360安全大脑就为大家拆穿一些常见花招。

  招式一:表里不一

  试想,如果看到一份“外貌”正常的文档图标,你会对它进行防备么?而事实上,此类表里不一的伪装却可能是快捷方式病毒最常用的伎俩。将恶意程序和快捷方式放在同一目录下,并使用docx后缀和文档图标进行伪装,很容易让用户觉得这就是一个普通文档。

图片2.jpg

  然而,如果你信以为真,就意味着将不幸中招了。经分析,这个伪装成文档的快捷方式实际执行的命令,是通过cmd执行目录下一个修改了后缀的可执行文件svchost.rtf,而此文件正是远控木马。

图片3.jpg

  同样,变幻多端的快捷方式病毒,也可能伪装成常用的文件夹图标。如下图,同一个zip压缩包里包含了一个修改为文件夹图标的快捷方式,和一个通过后缀名改为jpg伪装成图片的隐藏可执行文件。

图片4.jpg

  如果稍不慎双击打开了伪装的文件夹快捷方式,则会通过执行如下命令,最终运行名称伪装为JPG图片的木马程序。

图片5.jpg

  由此可见,该类手法就是利用了用户通过图标含义理解文件类型的思维习惯,来实施攻击。所以,当我们接收到陌生可疑文件或文件夹时,不妨注意以下几点:

  1)右键查看快捷方式“属性”--“目标”一栏里是否有可疑字符串,确保与期待的目标文件相一致;

  2)观察快捷方式同目录下是否存在其他可疑文件或者隐藏文件,若存在需确认是否为危险文件。

  招式二:绵里藏针

  除了要当心压缩包里同时包含快捷方式和隐藏文件的情况之外,如果压缩包里只有一个快捷方式也不要掉以轻心,因为恶意脚本或者资源可以全部内嵌到快捷方式中。如下图,该病毒将名称伪装成图片Credit Card Back.jpg,图标却伪装成了docx文档。

图片6.jpg

  通过查看快捷方式的目标属性就可发现,这明显不是普通的快捷方式,而这段代码的主要功能是最终释放具有执行远程命令、盗取隐私等木马行为的JS文件。

图片7.jpg

  面对这种绵里藏针的钓鱼快捷方式病毒,用户只要保持警惕性,实际很容易识破,因为恶意代码都嵌入在快捷方式中,所以最终的快捷方式文件通常比较大,如果发现文件大小异常或者查看属性发现有可疑字符串,那就一定要当心了。

  招式三:藏形匿影

  基于脚本语言的特点,一些快捷方式病毒会利用各种方式,将核心代码“隐藏起来”,而这些为了躲避杀毒软件检测的“潜伏”手段则是花样百出。

  有的不法分子会通过超长命令行,来隐藏数据。

图片8.jpg

  该快捷方式指向一段CMD命令,使用环境变量进行解密后的命令如下图所示:

图片9.jpg

  但是,命令开启mshta.exe后,没有任何参数,也不会运行任何脚本,那其它数据到底藏到了哪里呢?

  原来,在Windows系统中属性的“目标”只能查看260个字符,而命令行参数的最大长度为4096个字符,恶意文件正是利用这个特性隐藏了位于260个字符以后的数据。通过对完整代码解密后便会发现,该代码主要是在通过打开诱饵文档蒙蔽用户后,加载恶意代码。

图片10.jpg

  有的不法分子则会对嵌入的脚本进行高强度混淆,不免让人头晕目眩。

图片11.jpg

  然而,从经过多次去除混淆得到最终的脚本代码中可以看出,该代码最终将通过CMD执行恶意PowerShell脚本。

图片12.jpg

  还有的不法分子会将快捷方式病毒同攻击载荷打包到一个压缩文件,压缩文件末尾添加有附加数据。

图片13.jpg

  如上图,压缩包里面有两个文件,一个是正常PDF文档,另一个为伪装成图片的快捷方式。如果打开快捷方式,则会通过执行如下命令来释放恶意脚本,最后还会打开正常PDF文件迷惑用户。

图片14.jpg

  而面对以上这些藏形匿影的钓鱼快捷方式病毒,大家尽可以注意以下几点,以实现见招拆招:

  1)单一快捷方式可以检查文件大小,正常快捷方式只有几K大小,体积过大请勿执行;

  2)压缩包中的快捷方式可以先解压,然后查看快捷方式是否通过CMD执行同目录的其他文件。

  招式四:声东击西

  看过以上招式后,如果你觉得仅通过判断目标文件,就能识别快捷方式病毒的话,那你就大错特错了。部分攻击者也会通过Link Resolution机制来重定位目标,这种情况下,乍一看指向的目标文件不存在,实际上是在声东击西迷惑用户。

图片15.jpg

  在快捷方式的文件结构中有一个RELATIVE_PATH字段,如果存在这样的值,打开快捷方式就会尝试修复快捷方式的指向。如下快捷方式的RELATIVE_PATH值为.\DeviceConfigManager.vbs,执行时会被修复为当前目录下的VBS脚本文件,而这,恰恰就为病毒的释放提供了执行路径。

图片16.jpg

  所以,在面对该类声东击西的快捷方式病毒之时,大家切记要对其中暗藏的杀机加以防范,在点击开启前:

  1)可以首先右键查看快捷方式“属性”,并查看其“目标”指向的文件是否存在;

  2)若不存在此文件,还需要判断快捷方式同目录下的文件与其指向的文件是否具有相同文件名,若存在此种情况,需要高度警惕,否则极易中招。

  纵观以上案例后不难发现,快捷方式病毒既可以通过内嵌脚本执行恶意功能,也可以通过调用指向的文件来进行攻击,形式灵活,手段多变。最重要的是,不法分子主要利用了用户的认知习惯,使得该类攻击方式极具威胁。

  而事实上,著名黑客凯文·米特尼克在其著作《欺骗的艺术》就曾提到,人为因素才是安全的软肋,就此也提出了社会工程学的概念。不同于找到存在于程序或者服务器之内的漏洞以攻克目标的方式,社会工程学则是利用人性弱点这一安全漏洞,通过欺骗受害者的手段来实施对计算机系统的网络攻击。甚至在有些情况下,往往一些技术并不复杂的攻击方式,反而因此而屡试不爽。

  所以,在明白“人是网络安全中的薄弱环节”这一道理后,广大用户一定要时刻谨记提高网络安全防范意识,以避免为不法分子提供可乘之机。除此之外,大家也可以及时前往weishi.360.cn下载安装360安全卫士,在360安全大脑的极智赋能下,360安全卫士可全面拦截各类钓鱼木马攻击,心动的小伙伴不妨亲自一试。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
WPS Office 2019 Linux 专业版推出 “公文模式”,面向党政机关用户
7月8日消息 7月7日,金山办公在位于珠海的产品研发中心举行了以“民族办公软件的创新之路&rdqu...
日期:07-08
技巧:如何卸载 Win10 基于 Chromium 的新版 Edge 浏览器
7 月 7 日消息 虽然微软采用 Chromium 重新打造 Edge 浏览器受到很多用户的欢迎,目前新的微软 Edge...
日期:07-07
微软 Win10 大规模推送 Chromium 版 Edge 浏览器
7月6日消息 外媒 Windows Latest 报道,在接下来的几个月中,经典版 Microsoft Edge 浏览器时代对于...
日期:07-06
微软 Win10 全新开始菜单现身
6 月 24 日消息 Windows 10 于 2015 年发布,发布近五年后,微软已经开始为该操作系统打造新的外观...
日期:06-24
拓展灵活!宁畅携旗舰服务器亮相英特尔数据创新峰会
6月19日,英特尔® 数据创新峰会暨新品发布,以线上直播形式举办。服务器新锐厂商宁畅作为英特尔...
日期:06-19
新增攻击模块二次染指linux服务器,“驱动人生”僵尸网络全网撒毒贼心不死
用野火烧不尽,春风吹又生,来形容“死而不灭”的僵尸网络最合适不过。6月9日,360安全大...
日期:06-11
雷神游戏主机911黑武士三代评测  618值得购入的高配置台式机
随着英特尔发布了十代酷睿台式机处理器,雷神更新了其游戏主机产线,推出新一代雷神911黑武士三代水冷...
日期:06-05
不懂如何选配台式机组装清单 2020热门品牌游戏台式主机推荐
大部分用户会在选购平板电脑、笔记本还是台式机之间犹豫不决。虽然平板和笔记本携带比较方便,但是...
日期:06-02
Firefox 将提供导出密码至本地的功能
由于 Firefox 一直不支持手动将密码导入或导出,用户长期以来只能凭借第三方工具来达成此需求,或是...
日期:06-02
网易云音乐 Win10 UWP 正式变为 Win32 转制版
5月29日消息 这一天还是到来了,IT之家网友反馈,Windows 10应用商店中的网易云音乐UWP版最新更新之...
日期:05-29
Android-x86 8.1-rc5 发布:PC 上的安卓系统
Android-x86 8.1-rc5 现已发布,这是 Android-x86 8.1(oreo-x86)的第五个稳定版本。Android-x86 即...
日期:05-27
微软 Cortana Win10 商店版正式版发布:支持中文
5月25日消息 微软已经准备好在Windows 10版本2004中推出更新的Cortana数字助手,Microsoft Store中...
日期:05-25
戴尔推出灵越3880台式机:i5-10400F+GT 730
5月24日消息 戴尔推出了灵越3880台式机,搭载了刚刚上架的十代酷睿i5处理器,显卡为入门级的GT 730...
日期:05-24
谷歌 Chrome 浏览器支付卡新增支持 Windows Hello 验证
5月24日消息 谷歌已经使用Windows Hello身份验证来解锁Google Chrome设置中的密码显示,现在,根据...
日期:05-24
微软免费实用工具集PowerToys 0.18.1 发布
PowerToys 0.18.1 发布了,这是一个修复版本,主要解决了以下问题:
日期:05-23
Windows Hello已可用于谷歌Chrome浏览器中的支付认证
早在 2018 年的时候,微软就已经为 Edge 浏览器引入了 Web 身份验证规范,从而为基于 Windows Hello...
日期:05-22
迎接5月更新!微软发布Edge 83稳定版:多重改进
为了迎接Windows 10 5月更新的到来,微软紧跟Chrome更新节奏,基于Chromium的新版Edge浏览器已经跳...
日期:05-22
Win10新版19631推送:修复睡死、改善红外人脸识体验
今晨,微软带来两个Insider预览版,分别是面向快速通道会员的Build 19631和面向ARM PC(如Surface Pr...
日期:05-22
微软 Chromium 版 Edge 浏览器 Linux 版首次亮相
5月20日消息 微软于今年1月份推出的经过改进的 Chromium 版 Edge 浏览器已进入Linux操作系统,并有...
日期:05-20
微软 Q&A 正式上线,替代 MSDN 和 TechNet 论坛
5月19日消息 去年10月份,微软宣布将用新的Microsoft Q&A代替MSDN和TechNet论坛。Microsoft Q&a...
日期:05-19
  专栏介绍
即时新闻 的专栏
即时新闻发表的文章
积分:
自我介绍 :