打电话要留意安全教案 安全预警留意基于文档的恶意软件

1、本文格式为Word版，下载可任意编辑 打电话要留意安全教案 安全预警留意基于文档的恶意软件 梭子鱼网络助力您的企业阻断不断蜕变的恶意软件攻击 梭子鱼研究人员察觉，近期基于文档的恶意软件的使用展现了惊人的新增长。最近的一份电子邮件分析显示，在过去12个月检测到的恶意文档中，有48%来源于文档。梭子鱼已识别了超过30万份恶意文档! 自2022年初以来，这类基于文档的攻击频率急剧上升。今年第一季度，在全体被检测到的恶意软件中，59%来源于文档，而前一年这一比例为41%。 首先，我们来细致了解一下基于文档的恶意软件攻击和解决方案，以便扶助举行检测和阻拦。 下图为典型带有恶意软件的文档攻击样板 网络罪犯

2、使用电子邮件发送包含恶意软件的文档，也称为恶意软件。通常处境下，恶意软件要么直接暗藏在文档本身之中，要么通过嵌入的脚本从外部网站下载。常见的恶意软件包括病毒、木马、间谍软件、蠕虫和敲诈软件。 恶意软件攻击的现代框架 在数十年凭借于基于标记的方法之后(该方法只能在标记被导出后才能有效阻拦恶意软件)，安好公司现在考虑恶意软件检测时，会问“是什么使它具有恶意?”，而非“如何检测我知道具有恶意的内容?”重点是尝试在一个文档被标记为有害之前检测它可能造成危害的指标。 一种用于更好理解攻击的常见模型是网络杀伤链(Cyber Kill Chain)，它是大多数攻击者破解某个系统时所采取步骤的七阶段模型： 侦

3、察目标的选择与研究 武器化制造对目标的攻击，通常使用恶意软件和/或漏洞 交付发动攻击 开发利用攻击包中供给的漏洞 安装在目标系统中创造耐久性驻留 命令和操纵使用来自网络外部的耐久性驻留 目标上的行动达成目标(即攻击的目的)，往往是泄露数据 大多数恶意软件以垃圾邮件的形式发送到广泛传播的电子邮件列表中，这些列表在地下网络中被出售、交易、聚合和修改。像正在举行的“性敲诈诈骗”中使用的组合列表就是这种列表聚合和实际使用的范例。 现在攻击者已经有了潜在的受害者列表，使用社会工程让用户开启附加的恶意文档即可开头恶意软件运动(杀伤链的交付阶段)。Microsoft和Adobe文档类型是最常用的基于文档的恶

4、意软件攻击的载体，包括Word、Excel、PowerPoint、Acrobat和PDF文档。 一旦开启文档，恶意软件就会自动安装，或者使用高度模糊的宏/脚本从外部源下载并安装恶意软件。无意会使用链接或其它可点击的工程，但这种方法在网络钓鱼攻击中比恶意软件攻击更常见。当恶意文档被开启时，正在下载并运行的可执行文件表示杀伤链中的安装阶段。 归档文档和脚本文档是另外两种最常见的基于附件的恶意软件传播方法。攻击者经常对文档扩展名举行坑骗，试图迷惑用户并让他们开启恶意文档。 现代恶意软件攻击分外繁杂而且分为多层;用于检测和阻拦它们的解决方案也是如此。 检测和阻拦恶意软件攻击 黑名单随着IP空间越来越有

5、限，垃圾邮件制造者越来越多使用其自己的根基设施。通常，一致的IP使用足够长时间后，相对轻易便第三方检测到并将其列入黑名单。即使是被入侵的网站和僵尸网络，一旦检测到足够多的垃圾邮件，也有可能通过阻拦IP暂时阻拦攻击。 垃圾邮件过滤器/网络钓鱼检测系统虽然大量恶意邮件看上去令人信服，但垃圾邮件过滤器、网络钓鱼检测系统和相关安好软件可以抓获到微妙的线索，以扶助阻拦潜在的要挟信息和附件进入电子邮件收件箱。 恶意软件检测对于附带有恶意文档的电子邮件，静态和动态分析都可以获取文档试图下载并运行可执行文件的指标，而这是任何文档都不应举行的操作。通常可以使用启发式或要挟情报系统标记可执行文件的URL。静态分析

6、检测到的混淆也可以指示文档是否可疑。 先进的防火墙假设用户开启恶意附件或点击路过式下载的链接，能够举行恶意软件分析的先进网络防火墙在可执行文件试图通过时对其举行标记，从而阻拦攻击。 梭子鱼邮件安好网关可管理和过滤全体入站和出站电子邮件，养护企业免受因邮件而带来的网络要挟，制止数据泄露事情发生。梭子鱼邮件安好网关可防卫入站恶意软件，垃圾邮件，网络钓鱼和DoS攻击等。同时，梭子鱼PhishLine还可供给员工安好意识培训，巩固员工安好防范意识。 关于梭子鱼网络 梭子鱼网络秉承“繁杂IT简朴化”理念，为全球各行业组织供给性能卓越，简朴易用，高效稳定的安好与存储解决方案。全球超过150,000家组织与机构选择相信梭