McAfee保護免受可疑電子郵件附件的侵害 作者: Craig Schmugar, 於2019年 3月3日 電子郵件仍然是攻擊者的最佳媒介。多年來,防禦已經發展,基於策略的保護已經成為Microsoft Outlook和Microsoft Mail等電子郵件客戶端的標準。這些政策非常有效,但前提是要像攻擊者(駭客)一樣不斷改變策略來迴避防護。因此,McAfee端點產品結合使用產品功能和內容來提高靈活性。在McAfee Endpoint Security(ENS)10.5+中,通過“檢測可疑電子郵件附件”選項啟用此類保護,並通過DAT內容進行維護。此功能超出了電子郵件客戶端提供的保護級別,不僅可以阻止應用程序和腳本,還可以使用本機形式的各種威脅類型,以及壓縮和包含在歸檔和其他格式中的威脅類型。
圖1 - ENS 10.6.1配置屏幕 可以在最近的垃圾郵件運行中看到此功能的一個示例。 在此廣告系列中,惡意電子郵件包含附件BANK DETAILS.ZIP。這個檔案裡面是文件BANK DETAILS.ISO。惡意ISO垃圾郵件在過去六個月中一直在增加,雖然ISO文件被電子郵件客戶端阻止是常見的,但這不是ISO在ZIP中的情況。BANK DETAILS.ISO文件內部存在BANK DETAILS.EXE。電子郵件客戶端通常會阻止附加到郵件的可執行文件,但如果它們位於容器內,則不會。 當電子郵件客戶端嘗試將附件寫入硬碟時,ENS會在ZIP內部掃描,然後掃描包含的ISO和EXE文件(ZIP - > ISO - > EXE)。
圖2 - ENS烤麵包機彈出窗口 在這種情況下,DAT會主動阻止了威脅。 如果系統未受到保護,則毫無戒心的用戶可能會打開ZIP以顯示ISO。
圖3 - 顯示ISO文件的ZIP文件內部 然後可以通過Windows資源管理器訪問ISO,該資源管理器顯示為包含可執行文件,密碼竊取,有效負載的DVD驅動器。
圖4 - Bank Details.ISO中的EXE文件 自從基於策略的電子郵件附件阻止出現以來,攻擊者一直在尋求逃避這種保護的方法。ISO濫用可能是故事的最新章節,但其他人肯定會遵循。 每月通過“可疑附件”檢測功能阻止數以萬計的新的和獨特的惡意附件。 資料來源:https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/mcafee-protects-against-suspicious-email-attachments/ |
