< 返回
· 最新资讯,行业动态
微软警告:小心垃圾邮件,谨慎下载附件!

在此处添加文本段落

微软(Microsoft)发布警告称,针对欧洲地区的垃圾邮件活动正在利用一个漏洞执行攻击,只要打开附件文件就可能感染用户。

微软称,这是一场针对欧洲地区的主动电子邮件恶意软件运动,散布了带有CVE-2017-11882漏洞的RTF文件,该漏洞允许攻击者自动运行恶意代码而不需要用户交互。

一、CVE-2017-11882 是什么

CVE-2017-11882 漏洞允许创建RTF和Word文档,一旦打开就自动执行命令。

CVE-2017-11882是微软在2017年11月所公布的一个远程执行漏洞,通杀目前市面上的所有office版本及Windows操作系统(包括停止支持的Office 2007)。

该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出,是一个非常经典的栈溢出漏洞。

这一漏洞在2017年就已经得到了修补。但微软表示,他们在过去几周里再度看到使用此类漏洞的攻击有所增加。

二、垃圾邮件活动详情

根据微软的说法,当附件打开时,它将“执行不同类型的多个脚本(VBScript、PowerShell、PHP等)来下载有效负载。”

“当我们测试其中一个示例文档时,打开它,它会立即开始执行从Pastebin下载的脚本,该脚本执行PowerShell命令。然后这个PowerShell命令将下载一个base64编码的文件,并将文件保存到%temp%\bakdraw.exe。

之后,再将执行文件bakdraw.exe的副本复制到%UserProfile%\AppData\Roaming\SystemIDE中,配置一个名为SystemIDE的调度任务来启动可执行文件并添加持久性。”

微软声明此可执行文件是一个后门,当前配置为连接到一个不再可访问的恶意域。这意味着即使计算机被感染,后门也不能与其命令和控制服务器通信来接收命令。

不过,这个有效负载可以很容易地切换为工作负载,因此微软建议所有Windows用户尽快为这个漏洞安装安全更新。

值得一提的是,FireEye最近还发现了CVE-2017-11882漏洞,该漏洞可被用于针对中亚的一场攻击行动,并安装了一个名为HawkBall的新后门。目前尚不清楚两起活动是否有关联。

三、垃圾邮件与网络钓鱼诈骗流程

根据卡巴斯基实验室2018年垃圾邮件和钓鱼攻击报告,网络罪犯仍然大量使用垃圾邮件和钓鱼邮件对企业实施攻击。报告显示,2018年网络罪犯继续使用更多手段入侵企业,仅通过恶意邮件的攻击数量就达到1.2亿次。

广告性质垃圾邮件 (内含交易或网站促销内容的垃圾邮件) 占了所有垃圾邮件13%的比例。相较于去年的数据,下滑了将近5%,原因可能是垃圾邮件散发者正在测试新主题的效果。

金融理财主题的垃圾邮件,例如提供负载整合或贷款项目的垃圾邮件,则以8%的比例居第二位。

第三位则是比例为6%的健康医疗主题的垃圾邮件。最成功的垃圾邮件所使用的主题倾向于与大多数人关切的议题有关,因此能提高透过社交工程手法散播的成功率。

全球互联网公司成为钓鱼攻击的最大受害者。通过这样的钓鱼攻击,网络罪犯可以获取用户的凭证,并且非法将其贩卖。

文章来源:看雪学院

All Posts
×

Almost done…

We just sent you an email. Please click the link in the email to confirm your subscription!

OKSubscriptions powered by Strikingly