目前,微软已经通过Office更新默认禁用来自网络的办公文档中的宏,以前这类宏是黑客的钟爱之一,针对商业用户的钓鱼邮件通常都会制作所谓的订单或者报价信息,诱导用户启用宏,进而执行宏里面包含的恶意脚本,现在这条路已经不太容易走了,但不少黑客将目标转向PDF文档,对用户们发起钓鱼,如果我们只是拿浏览器Chrome或者Edge打开PDF,那黑客暗藏的各种交互式恶意代码基本是无法运行的 (除非Chrome的PDF引擎也包含漏洞)。
这种情况分为两种,第一种是针对包含漏洞的Adobe Acrobat Reader这类,第二种则是针对不含漏洞的,那就得用户手动交互。
01针对包含漏洞的Adobe Acrobat:
攻击者一般会精心制作包含恶意代码的PDF文档,然后通过电子邮件或其他渠道进行分发,在过时且未安装补丁的Adobe Acrobat上,PDF直接使用MSHTA执行嵌入的 JavaScript脚本,然后调用powershell.exe 执行恶意脚本加载一系列恶意负载并让自己具有持久性,即重启后恶意软件也会跟着重启。
整个过程都是自动化的,只需要用户使用Adobe Acrobat打开这个PDF文件即可。
02针对不包含漏洞的Adobe Acrobat:
在新版本Acrobat上Adobe已经禁用执行JavaScript脚本,为此黑客会通过PDF弹出一个对话框要求重定向到外部网站。
这个外部网站也会下载JavaScript脚本并命名为具有诱导性的内容,引导用户手动打开这个JavaScript脚本,执行后也会下载一系列负载。
接下来就是黑客的各种躲避操作了,例如要规避Microsoft Defender的查杀、修改 UAC账户控制相关的注册表项、禁用Windows防火墙等,当然也包括利用一些方式进行权限提升。
完成这些操作后实际上被感染的设备就已经成了肉鸡,整个设备不存在任何私密性,如果黑客愿意,那么都可以随时获取各种机密数据,比如安插个键盘记录器。
针对以上情况数安时代安全团队建议用户:
钓鱼邮件的防范方法
-
安装杀毒软件
安装并定期更新杀毒软件,启用对邮件及邮件附件的扫描功能,计算机系统的补丁也要定期更新。 -
保护登录口令
安装并定期更新杀毒软件,启用对邮件及邮件附件的扫描功能,计算机系统的补丁也要定期更新。 -
邮箱账号绑定手机
将邮箱账号与手机绑定,不光可以及时找回密码,也可以收到邮箱的异地登录提醒信息。 -
公私邮箱要分离
不用工作邮箱注册公共网站服务,不用工作邮箱发送私人邮件。 -
做好文件防护
应及时清理收件箱中的邮件,发现异常邮件可选择直接删除;备份重要文件到本地,防止被攻击后文件丢失;重要邮件或者附件尽量选择加密发送,并且中文中不能附带解密密码。 -
不要轻信发件人地址中的显示名
如果邮件的正文中有链接,切忌直接打开,很多钓鱼邮件会使用短连接或带连接的文字来迷惑收件人。如果收到邮箱提示升级或停用等通知类邮件,点击正文链接前应确认网址是否是邮箱自身的地址。 -
不要轻易点击陌生邮件中的链接
安装并定期更新杀毒软件,启用对邮件及邮件附件的扫描功能,计算机系统的补丁也要定期更新。 -
不要放松“熟人”的邮件
攻击者经常会利用被攻陷的邮箱,向好友发送钓鱼邮件,如果收到的邮件内容有问题,应当及时联系朋友或同时确认核实。 -
不要使用公共网络执行敏感操作
尽量避免在公共场合登录邮箱、通讯软件或网银等操作。在无法确定安全的情况下尽量避免连接Wi-Fi进行以上的操作,避免被数据节流手段获取个人敏感信息。 -
不要将敏感信息发布到互联网
攻击者会收集和分析用户发布到互联网的信息,并有针对性的发送钓鱼邮件给用户。