您当前的位置是:  首页 > 技术 > 企业通信 > 技术 > 数据网络 > 技术动态 >
技术 - 企业通信 - 数据网络技术频道
  首页 > 技术 > 企业通信 > 技术 > 数据网络 > 技术动态 > Check Point截获JavaScript文件隐形攻击

Check Point截获JavaScript文件隐形攻击

2017-08-08 15:58:53   作者:   来源:CTI论坛   评论:0  点击:


  全球最大专注于安全的解决方案提供商Check Point以色列捷邦安全软件科技有限公司宣布,其威胁情报侦测网络近日截获一种传统防病毒解决方案很难检测出的隐形攻击。
  7 月 17 日,SandBlast零日防护开始显示出大规模的电子邮件攻击,而此次攻击并未被传统 AV 解决方案捕获。截至攻击后第 4 天,Check Point 已拦截到 5,000 个不同的攻击样本,VirusTotal 却仅有少量样本,其中半数无法被任何 AV 扫描引擎检测到,其余样本被检测到的次数也是屈指可数。
  此次攻击与会发送空白内容电子邮件的“BlankSlate”垃圾邮件攻击有关,在此例中则是发送空白主题的电子邮件给用户,同时恶意有效负载会被加载到以如下形式命名的附件压缩文件中 - EMAIL_NNNNNN_AAAAAA.zip。


  该附件包含一个被严重混淆的下载和执行JavaScript文件,以及大量关于不同国家和城市的维基百科文章的盗用文本。
  SandBlast将附件解压,避免因仿真JavaScript文件造成的混淆,并识别其与恶意命令和控制服务器之间的通信。
  为避免被加入黑名单,本次攻击的C&C域会迅速变化;所有域均为近期注册并具有以下模式:hxxp://sitename.tld/(support|admin)。phpf=1.doc <http://sitename.tld/(support%7Cadmin)。phpf=1.doc>
  它们在 VirusTotal 上的检测率也非常低,65 个信誉服务中大约仅能检测出 5 个。
  C&C 为此利用流量重定向脚本,并阻止一些国家和 ISP访问该站点。
  针对依据地理定位(例如美国)而选定的目标,C&C将返回一个BTC勒索软件有效负载。该勒索软件要求转账0.5比特币到以下地址 - 1DCZzWZuCwWptG6e1H5D65HyuQyxp2SVWP,并将交易页面截图发送到中国电子邮箱 - chines34@protonmail.ch <mailto:chines34@protonmail.ch>。
  Check Point 就此提出下列建议:
  • 除非您确定邮件附件来自已知情景中的已知人员,否则请勿打开。
  • 使用高级恶意软件防护解决方案。
  • Check Point SandBlast 客户受到保护,免于此威胁。
  Check Point以色列捷邦安全软件科技有限公司
  Check Point以色列捷邦安全软件科技有限公司(www.checkpoint.com.cn)是全球最大的专注于安全的解决方案提供商,为各界客户提供业界领先的解决方案抵御恶意软件和各种威胁。Check Point提供全方位的安全解决方案包括从企业网络到移动设备的安全保护,以及最全面和可视化的安全管理方案。Check Point现为十多万不同规模的组织提供安全保护。
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

专题