您的位置:首页 > 电脑软件

社会工程学在网络安全中的崛起:快捷方式竟成黑客“钓鱼”工具!

发布时间:2020-03-14 19:29:38  来源:互联网     背景:

  日常工作中,电脑桌面和开始菜单中的快捷方式对于大家来说并不陌生,点击之后就可进入相应的应用程序。由于快捷方式自身不是可执行文件,多数情况只起到了跳转作用,同时在大多数用户惯性思维的加持下,很容易让人放松安全警惕。即使在点击后,杀毒软件提示发现病毒,但仍然会有用户手动信任,甚至临时关闭杀毒软件。

  近日,360安全大脑就检测到一批特殊的快捷方式,其利用社会工程学进行别有用心的伪装后,大肆实施钓鱼攻击。该类钓鱼病毒不仅具备与快捷方式极其相似的高隐蔽性;同时因为其多使用脚本语言开发,所以也拥有着开发周期短和易混淆的特点;而且由于其一般不需要考虑环境和版本差异,使得无数用户频繁中招。

图片1.jpg

  那么,如何才能不被这些披着快捷方式外衣的钓鱼病毒欺骗呢?在此,360安全大脑就为大家拆穿一些常见花招。

  招式一:表里不一

  试想,如果看到一份“外貌”正常的文档图标,你会对它进行防备么?而事实上,此类表里不一的伪装却可能是快捷方式病毒最常用的伎俩。将恶意程序和快捷方式放在同一目录下,并使用docx后缀和文档图标进行伪装,很容易让用户觉得这就是一个普通文档。

图片2.jpg

  然而,如果你信以为真,就意味着将不幸中招了。经分析,这个伪装成文档的快捷方式实际执行的命令,是通过cmd执行目录下一个修改了后缀的可执行文件svchost.rtf,而此文件正是远控木马。

图片3.jpg

  同样,变幻多端的快捷方式病毒,也可能伪装成常用的文件夹图标。如下图,同一个zip压缩包里包含了一个修改为文件夹图标的快捷方式,和一个通过后缀名改为jpg伪装成图片的隐藏可执行文件。

图片4.jpg

  如果稍不慎双击打开了伪装的文件夹快捷方式,则会通过执行如下命令,最终运行名称伪装为JPG图片的木马程序。

图片5.jpg

  由此可见,该类手法就是利用了用户通过图标含义理解文件类型的思维习惯,来实施攻击。所以,当我们接收到陌生可疑文件或文件夹时,不妨注意以下几点:

  1)右键查看快捷方式“属性”--“目标”一栏里是否有可疑字符串,确保与期待的目标文件相一致;

  2)观察快捷方式同目录下是否存在其他可疑文件或者隐藏文件,若存在需确认是否为危险文件。

  招式二:绵里藏针

  除了要当心压缩包里同时包含快捷方式和隐藏文件的情况之外,如果压缩包里只有一个快捷方式也不要掉以轻心,因为恶意脚本或者资源可以全部内嵌到快捷方式中。如下图,该病毒将名称伪装成图片Credit Card Back.jpg,图标却伪装成了docx文档。

图片6.jpg

  通过查看快捷方式的目标属性就可发现,这明显不是普通的快捷方式,而这段代码的主要功能是最终释放具有执行远程命令、盗取隐私等木马行为的JS文件。

图片7.jpg

  面对这种绵里藏针的钓鱼快捷方式病毒,用户只要保持警惕性,实际很容易识破,因为恶意代码都嵌入在快捷方式中,所以最终的快捷方式文件通常比较大,如果发现文件大小异常或者查看属性发现有可疑字符串,那就一定要当心了。

  招式三:藏形匿影

  基于脚本语言的特点,一些快捷方式病毒会利用各种方式,将核心代码“隐藏起来”,而这些为了躲避杀毒软件检测的“潜伏”手段则是花样百出。

  有的不法分子会通过超长命令行,来隐藏数据。

图片8.jpg

  该快捷方式指向一段CMD命令,使用环境变量进行解密后的命令如下图所示:

图片9.jpg

  但是,命令开启mshta.exe后,没有任何参数,也不会运行任何脚本,那其它数据到底藏到了哪里呢?

  原来,在Windows系统中属性的“目标”只能查看260个字符,而命令行参数的最大长度为4096个字符,恶意文件正是利用这个特性隐藏了位于260个字符以后的数据。通过对完整代码解密后便会发现,该代码主要是在通过打开诱饵文档蒙蔽用户后,加载恶意代码。

图片10.jpg

  有的不法分子则会对嵌入的脚本进行高强度混淆,不免让人头晕目眩。

图片11.jpg

  然而,从经过多次去除混淆得到最终的脚本代码中可以看出,该代码最终将通过CMD执行恶意PowerShell脚本。

图片12.jpg

  还有的不法分子会将快捷方式病毒同攻击载荷打包到一个压缩文件,压缩文件末尾添加有附加数据。

图片13.jpg

  如上图,压缩包里面有两个文件,一个是正常PDF文档,另一个为伪装成图片的快捷方式。如果打开快捷方式,则会通过执行如下命令来释放恶意脚本,最后还会打开正常PDF文件迷惑用户。

图片14.jpg

  而面对以上这些藏形匿影的钓鱼快捷方式病毒,大家尽可以注意以下几点,以实现见招拆招:

  1)单一快捷方式可以检查文件大小,正常快捷方式只有几K大小,体积过大请勿执行;

  2)压缩包中的快捷方式可以先解压,然后查看快捷方式是否通过CMD执行同目录的其他文件。

  招式四:声东击西

  看过以上招式后,如果你觉得仅通过判断目标文件,就能识别快捷方式病毒的话,那你就大错特错了。部分攻击者也会通过Link Resolution机制来重定位目标,这种情况下,乍一看指向的目标文件不存在,实际上是在声东击西迷惑用户。

图片15.jpg

  在快捷方式的文件结构中有一个RELATIVE_PATH字段,如果存在这样的值,打开快捷方式就会尝试修复快捷方式的指向。如下快捷方式的RELATIVE_PATH值为.\DeviceConfigManager.vbs,执行时会被修复为当前目录下的VBS脚本文件,而这,恰恰就为病毒的释放提供了执行路径。

图片16.jpg

  所以,在面对该类声东击西的快捷方式病毒之时,大家切记要对其中暗藏的杀机加以防范,在点击开启前:

  1)可以首先右键查看快捷方式“属性”,并查看其“目标”指向的文件是否存在;

  2)若不存在此文件,还需要判断快捷方式同目录下的文件与其指向的文件是否具有相同文件名,若存在此种情况,需要高度警惕,否则极易中招。

  纵观以上案例后不难发现,快捷方式病毒既可以通过内嵌脚本执行恶意功能,也可以通过调用指向的文件来进行攻击,形式灵活,手段多变。最重要的是,不法分子主要利用了用户的认知习惯,使得该类攻击方式极具威胁。

  而事实上,著名黑客凯文·米特尼克在其著作《欺骗的艺术》就曾提到,人为因素才是安全的软肋,就此也提出了社会工程学的概念。不同于找到存在于程序或者服务器之内的漏洞以攻克目标的方式,社会工程学则是利用人性弱点这一安全漏洞,通过欺骗受害者的手段来实施对计算机系统的网络攻击。甚至在有些情况下,往往一些技术并不复杂的攻击方式,反而因此而屡试不爽。

  所以,在明白“人是网络安全中的薄弱环节”这一道理后,广大用户一定要时刻谨记提高网络安全防范意识,以避免为不法分子提供可乘之机。除此之外,大家也可以及时前往weishi.360.cn下载安装360安全卫士,在360安全大脑的极智赋能下,360安全卫士可全面拦截各类钓鱼木马攻击,心动的小伙伴不妨亲自一试。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页

本文评论
TNT办公初体验 我被这些神操作惊了
作为桌面级别操作系统来对标,目前的TNT无疑是稚嫩的,甚至有些偏激;但是从交互逻辑,功能体验来说......
日期:09-01
金山办公强力布局印度市场 正式发布WPS Office 2020
据外媒报道,日前,金山办公正式发布WPS Office 2020。作为一款办公一体套件,WPS Office 2020全面......
日期:10-17
谷歌发布Android Q时间表:安卓10正式版第三季度到来
3月14日消息 今日凌晨,谷歌正式推送了Android Q的首个Beta版本,全系Pixel手机均可尝鲜。同时,谷......
日期:03-14
巧用家长管控功能 给孩子上网安排的明明白白
互联网的高速发展,让孩子在很小的年纪就会使用智能手机或平板电脑上网娱乐。但互联网并非清净之地......
日期:09-28
能靠喊了,火狐Firefox浏览器引入Voice语音控件
Firefox Voice 是 Mozilla 的一项新实验,刚刚作为 Beta 版本发布。该实验将语音控件引入 Firefox W......
日期:01-13
西瓜视频联合TCL雷鸟举办视频嘉年华 引领OTT行业新风向
10月12日-14日,由西瓜视频主办的第二届西瓜PLAY视频嘉年华正式亮相北京751D·PARK。据悉,今......
日期:10-12
数知科技旗下BBHI向IAB TECH LAB开源代码
北京数知科技股份有限公司境外子公司BBHI集团(Blackbird Hypersonic Investments Ltd.)旗下子公司Me......
日期:05-29
告别小“糊”图!精致男女的终极刷图攻略了解一下?
早晚班高峰挤地铁, 不抓紧碎片时间充电怎能称得上当代好青年? 金融时事刷刷刷! ......
日期:11-08
微软IE11浏览器 最后的升级机会
微软IE10浏览器将很快退出支持,许多Windows用户将没有任何安全或非安全更新,免费或付费辅助支持选......
日期:01-29
搜狗翻译App率先上线文档翻译功能 开启移动翻译新体验
移动时代,随着用户在日常工作、学习中对手机越来越多的依赖,移动端的翻译需求也更加迫切与多元。......
日期:09-18
劫持浏览器、远程控制、视频刷量,这种破解激活工具有毒!
近期,一种兼具劫持浏览器、弹出广告、视频网站刷量、远程控制等多种攻击方式的木马家族悄然袭来,......
日期:01-11
谷歌Chrome修补漏洞:隐身模式用户不能再被阻止访问
2月18日消息据外媒9to5Google的新闻,谷歌Chrome浏览器的未来版本将修复一个漏洞,该漏洞能让网站检......
日期:02-19
V8集团版OA系统,“分而不离”实现亚滴新能源敏捷化运营
随着社会经济的发展,公司业务不断的扩张,对协同管理OA系统产生了新的需求。2016年底,深圳市迪滴......
日期:05-21
聚集办公升级,MAXHUB携“互联网+”行业新应用亮相办公博览会
2018年5月19日~21日,由广东省现代办公设备协会主办的2018广东现代办公行业年会暨大办公博览会在广......
日期:05-22
微软Office 2019正式版发布:仅支持Win10和最新macOS
9月25日早间消息,在今晨的微软Ignite大会期间,微软宣布面向Windows和Mac推出Office 2019正式版,......
日期:09-25
Qt公司推出Qt for MCUs,用于微控制器上创建图形工具
芬兰,埃斯波 — 2019年8月21日 — Qt公司今天推出了Qt for MCUs,使客户能在经济高效的......
日期:08-22
Parrot 4.7发布,基于Debian的Linux发行版
Parrot Security OS是面向安全的操作系统,基于Debian,它被设计为用于渗透测试、计算机取证、反向......
日期:09-26
塑料水杯上的符号都是什么含义?看了这段抖音视频才知道,千万不能乱用
塑料,在我们的生活里可以说是无孔不入了。我们日常生活里会用到的矿泉水瓶、喝水的杯子、吃饭的餐......
日期:04-04
AI也能Freestyle了 「盒声音乐」要用算法为创作者编曲
(原标题:「Amadeus Code」用 AI 为音乐创作者提供创作灵感)...
日期:09-08
戴尔推新款灵越5000:10nm工艺 i5/1TB SSD,4299元
9月3日消息 目前,各大笔记本厂商都把英特尔10nm Ice Lake处理器安排在了高端产品上,然而戴尔却逆......
日期:09-03