日常工作中,電腦桌面和開始菜單中的快捷方式對(duì)于大家來(lái)說(shuō)并不陌生,點(diǎn)擊之后就可進(jìn)入相應(yīng)的應(yīng)用程序。由于快捷方式自身不是可執(zhí)行文件,多數(shù)情況只起到了跳轉(zhuǎn)作用,同時(shí)在大多數(shù)用戶慣性思維的加持下,很容易讓人放松安全警惕。即使在點(diǎn)擊后,殺毒軟件提示發(fā)現(xiàn)病毒,但仍然會(huì)有用戶手動(dòng)信任,甚至臨時(shí)關(guān)閉殺毒軟件。
近日,360安全大腦就檢測(cè)到一批特殊的快捷方式,其利用社會(huì)工程學(xué)進(jìn)行別有用心的偽裝后,大肆實(shí)施釣魚攻擊。該類釣魚病毒不僅具備與快捷方式極其相似的高隱蔽性;同時(shí)因?yàn)槠涠嗍褂媚_本語(yǔ)言開發(fā),所以也擁有著開發(fā)周期短和易混淆的特點(diǎn);而且由于其一般不需要考慮環(huán)境和版本差異,使得無(wú)數(shù)用戶頻繁中招。
那么,如何才能不被這些披著快捷方式外衣的釣魚病毒欺騙呢?在此,360安全大腦就為大家拆穿一些常見花招。
招式一:表里不一
試想,如果看到一份“外貌”正常的文檔圖標(biāo),你會(huì)對(duì)它進(jìn)行防備么?而事實(shí)上,此類表里不一的偽裝卻可能是快捷方式病毒最常用的伎倆。將惡意程序和快捷方式放在同一目錄下,并使用docx后綴和文檔圖標(biāo)進(jìn)行偽裝,很容易讓用戶覺得這就是一個(gè)普通文檔。
然而,如果你信以為真,就意味著將不幸中招了。經(jīng)分析,這個(gè)偽裝成文檔的快捷方式實(shí)際執(zhí)行的命令,是通過(guò)cmd執(zhí)行目錄下一個(gè)修改了后綴的可執(zhí)行文件svchost.rtf,而此文件正是遠(yuǎn)控木馬。
同樣,變幻多端的快捷方式病毒,也可能偽裝成常用的文件夾圖標(biāo)。如下圖,同一個(gè)zip壓縮包里包含了一個(gè)修改為文件夾圖標(biāo)的快捷方式,和一個(gè)通過(guò)后綴名改為jpg偽裝成圖片的隱藏可執(zhí)行文件。
如果稍不慎雙擊打開了偽裝的文件夾快捷方式,則會(huì)通過(guò)執(zhí)行如下命令,最終運(yùn)行名稱偽裝為JPG圖片的木馬程序。
由此可見,該類手法就是利用了用戶通過(guò)圖標(biāo)含義理解文件類型的思維習(xí)慣,來(lái)實(shí)施攻擊。所以,當(dāng)我們接收到陌生可疑文件或文件夾時(shí),不妨注意以下幾點(diǎn):
1)右鍵查看快捷方式“屬性”--“目標(biāo)”一欄里是否有可疑字符串,確保與期待的目標(biāo)文件相一致;
2)觀察快捷方式同目錄下是否存在其他可疑文件或者隱藏文件,若存在需確認(rèn)是否為危險(xiǎn)文件。
招式二:綿里藏針
除了要當(dāng)心壓縮包里同時(shí)包含快捷方式和隱藏文件的情況之外,如果壓縮包里只有一個(gè)快捷方式也不要掉以輕心,因?yàn)閻阂饽_本或者資源可以全部?jī)?nèi)嵌到快捷方式中。如下圖,該病毒將名稱偽裝成圖片Credit Card Back.jpg,圖標(biāo)卻偽裝成了docx文檔。
通過(guò)查看快捷方式的目標(biāo)屬性就可發(fā)現(xiàn),這明顯不是普通的快捷方式,而這段代碼的主要功能是最終釋放具有執(zhí)行遠(yuǎn)程命令、盜取隱私等木馬行為的JS文件。
面對(duì)這種綿里藏針的釣魚快捷方式病毒,用戶只要保持警惕性,實(shí)際很容易識(shí)破,因?yàn)閻阂獯a都嵌入在快捷方式中,所以最終的快捷方式文件通常比較大,如果發(fā)現(xiàn)文件大小異?;蛘卟榭磳傩园l(fā)現(xiàn)有可疑字符串,那就一定要當(dāng)心了。
招式三:藏形匿影
基于腳本語(yǔ)言的特點(diǎn),一些快捷方式病毒會(huì)利用各種方式,將核心代碼“隱藏起來(lái)”,而這些為了躲避殺毒軟件檢測(cè)的“潛伏”手段則是花樣百出。
有的不法分子會(huì)通過(guò)超長(zhǎng)命令行,來(lái)隱藏?cái)?shù)據(jù)。
該快捷方式指向一段CMD命令,使用環(huán)境變量進(jìn)行解密后的命令如下圖所示:
但是,命令開啟mshta.exe后,沒有任何參數(shù),也不會(huì)運(yùn)行任何腳本,那其它數(shù)據(jù)到底藏到了哪里呢?
原來(lái),在Windows系統(tǒng)中屬性的“目標(biāo)”只能查看260個(gè)字符,而命令行參數(shù)的最大長(zhǎng)度為4096個(gè)字符,惡意文件正是利用這個(gè)特性隱藏了位于260個(gè)字符以后的數(shù)據(jù)。通過(guò)對(duì)完整代碼解密后便會(huì)發(fā)現(xiàn),該代碼主要是在通過(guò)打開誘餌文檔蒙蔽用戶后,加載惡意代碼。
有的不法分子則會(huì)對(duì)嵌入的腳本進(jìn)行高強(qiáng)度混淆,不免讓人頭暈?zāi)垦!?/p>
然而,從經(jīng)過(guò)多次去除混淆得到最終的腳本代碼中可以看出,該代碼最終將通過(guò)CMD執(zhí)行惡意PowerShell腳本。
還有的不法分子會(huì)將快捷方式病毒同攻擊載荷打包到一個(gè)壓縮文件,壓縮文件末尾添加有附加數(shù)據(jù)。
如上圖,壓縮包里面有兩個(gè)文件,一個(gè)是正常PDF文檔,另一個(gè)為偽裝成圖片的快捷方式。如果打開快捷方式,則會(huì)通過(guò)執(zhí)行如下命令來(lái)釋放惡意腳本,最后還會(huì)打開正常PDF文件迷惑用戶。
而面對(duì)以上這些藏形匿影的釣魚快捷方式病毒,大家盡可以注意以下幾點(diǎn),以實(shí)現(xiàn)見招拆招:
1)單一快捷方式可以檢查文件大小,正??旖莘绞街挥袔譑大小,體積過(guò)大請(qǐng)勿執(zhí)行;
2)壓縮包中的快捷方式可以先解壓,然后查看快捷方式是否通過(guò)CMD執(zhí)行同目錄的其他文件。
招式四:聲東擊西
看過(guò)以上招式后,如果你覺得僅通過(guò)判斷目標(biāo)文件,就能識(shí)別快捷方式病毒的話,那你就大錯(cuò)特錯(cuò)了。部分攻擊者也會(huì)通過(guò)Link Resolution機(jī)制來(lái)重定位目標(biāo),這種情況下,乍一看指向的目標(biāo)文件不存在,實(shí)際上是在聲東擊西迷惑用戶。
在快捷方式的文件結(jié)構(gòu)中有一個(gè)RELATIVE_PATH字段,如果存在這樣的值,打開快捷方式就會(huì)嘗試修復(fù)快捷方式的指向。如下快捷方式的RELATIVE_PATH值為.\DeviceConfigManager.vbs,執(zhí)行時(shí)會(huì)被修復(fù)為當(dāng)前目錄下的VBS腳本文件,而這,恰恰就為病毒的釋放提供了執(zhí)行路徑。
所以,在面對(duì)該類聲東擊西的快捷方式病毒之時(shí),大家切記要對(duì)其中暗藏的殺機(jī)加以防范,在點(diǎn)擊開啟前:
1)可以首先右鍵查看快捷方式“屬性”,并查看其“目標(biāo)”指向的文件是否存在;
2)若不存在此文件,還需要判斷快捷方式同目錄下的文件與其指向的文件是否具有相同文件名,若存在此種情況,需要高度警惕,否則極易中招。
縱觀以上案例后不難發(fā)現(xiàn),快捷方式病毒既可以通過(guò)內(nèi)嵌腳本執(zhí)行惡意功能,也可以通過(guò)調(diào)用指向的文件來(lái)進(jìn)行攻擊,形式靈活,手段多變。最重要的是,不法分子主要利用了用戶的認(rèn)知習(xí)慣,使得該類攻擊方式極具威脅。
而事實(shí)上,著名黑客凱文·米特尼克在其著作《欺騙的藝術(shù)》就曾提到,人為因素才是安全的軟肋,就此也提出了社會(huì)工程學(xué)的概念。不同于找到存在于程序或者服務(wù)器之內(nèi)的漏洞以攻克目標(biāo)的方式,社會(huì)工程學(xué)則是利用人性弱點(diǎn)這一安全漏洞,通過(guò)欺騙受害者的手段來(lái)實(shí)施對(duì)計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)攻擊。甚至在有些情況下,往往一些技術(shù)并不復(fù)雜的攻擊方式,反而因此而屢試不爽。
所以,在明白“人是網(wǎng)絡(luò)安全中的薄弱環(huán)節(jié)”這一道理后,廣大用戶一定要時(shí)刻謹(jǐn)記提高網(wǎng)絡(luò)安全防范意識(shí),以避免為不法分子提供可乘之機(jī)。除此之外,大家也可以及時(shí)前往weishi.#下載安裝360安全衛(wèi)士,在360安全大腦的極智賦能下,360安全衛(wèi)士可全面攔截各類釣魚木馬攻擊,心動(dòng)的小伙伴不妨親自一試。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )