Video: Wana Decrypt0r (Wanacry Ransomware) - Computerphile (Lokakuu 2024)
Kaikki sähköpostipohjaiset hyökkäykset eivät näytä tulevan siirrettyjen despootien perheiltä, ihmelääkkeiden myyjiltä tai lähetysyrityksiltä, jotka muistuttavat sinua toimituksesta. Jotkut näyttävät tyytymättömiltä työnhakijoilta. Ja tässä taloudessa me kaikki tiedämme ainakin yhden henkilön, joka lähettää ansioluettelon kaikille tuntemistaan haastattelun aloittamisen toivossa.
Mutta kuten Cloudmark sanoi viimeisimmässä Tasty Spam -viestinnässään, "älä kiusa odottamattomia jatkamisia." Ne voivat purra sinua, kova.
Cloudmark näki äskettäin lunaohjelmistokampanjan, joka toimitettiin väärennetyn jatkamisen muodossa, tutkija Andrew Conway kertoi. Hyökkäys itsessään ei ole suoraviivaista ja reseptin on avattava haittaohjelma useita kertoja, mutta se on silti riittävän tehokas, että se on vaikuttanut moniin uhreihin.
Conway kuvasi kampanjan eri vaiheita:
Hyökkäyssähköposti tulee Yahoo! Mail-tili ja tiedosto, jonka oletetaan olevan jatkettu liitteenä. Conway huomautti viestin neljä varoitusmerkkiä: se oli ei-toivottu viesti; lähettäjä ei antanut sukunimeä; ansioluettelo lähetettiin.zip-tiedostona; ja kielioppi-, välimerkki- tai oikeinkirjoitusvirheissä on virheitä.
"Joku, joka toimittaa ansioluettelon, lukee heidän työnsä uudelleen", Conway sanoi.
Kun vastaanottaja avaa.zip-tiedoston, hän löytää html-tiedoston nimellä Resume7360.html . Se, että jatkaminen on.html-muodossa, on toinen punainen lippu, kun otetaan huomioon, että suurin osa jatkeista lähetetään teksti-, PDF- tai Word-asiakirjoina. "Tietysti on huono idea avata myös ei-toivotut PDF- ja Word-tiedostot", Conway sanoi.
Esimerkki hyökkäyksen HTML-tiedostosta näyttää tältä:
Kun vastaanottaja yrittää avata tiedoston, selain yrittää ladata URL-osoitteen IFRAME-tunnisteeseen. "Se on sama kuin pakottaa käyttäjä napsauttamaan linkkiä", Conway sanoi, huomauttaen, että tässä tapauksessa linkki osoittaa vaarannettuun web-palvelimeen. URL lataa vielä uuden HTML-tiedoston, jossa on uudelleenohjauslinkki osoittaen Google-dokumenttien linkkiin.
Uudelleenohjaus käyttää metapäivitystunnistetta, jota tyypillisesti käytetään verkkosivun sisällön päivittämiseen reaaliajassa. Meta-päivitys eri verkkotunnuksen verkkosivulle on yleensä haitallista. Useimmat ihmiset käyttäisivät HTTP-uudelleenohjausta tai JavaScriptiä tämän suorittamiseen, eivät metapäivitykseen. Vain tiedoksi vaarantuneen aloitussivun HTML näyttää tältä:
Google Docs -linkki lataa toisen zip-tiedoston, nimeltään my_resume.zip, ja se sisältää tiedoston nimellä My_resume_pdf_id_8412-7311.scr . "Internetistä satunnaisesti ladattu tiedosto. Vaara, Will Robinson!" sanoi Conway.
.Scr-pääte on tarkoitettu Windows-näytönsäästäjille, mutta ne ovat pääosin erityisesti alustettuja suoritettavia tiedostoja Windowsille..Scr-tiedostotunnistetta käytetään usein haittaohjelmien toimittamiseen epätietoisille käyttäjille. Kun uhri avaa.scr-tiedoston, joka laukaisee lunastusohjelman. Kaikki heidän tiedostot on salattu, ja heille esitetään satojen dollarien lasku saadaksesi ne takaisin.
Conway esitti mielenkiintoisen huomautuksen tästä ransomware-kampanjasta. Hyökkääjän piti suorittaa niin monta käännettyä vaihetta, koska nykyaikaiset virustentorjunta- ja roskapostisuodatystyökalut ovat riittävän tehokkaita, että ainoa tapa menestyä on ketjuttaa useita vaiheita puolustuksen ohittamiseksi. Jos sinusta tuntuu, että sinun täytyy hypätä useita hyppejä vain nähdäksesi jatkamisen, sen tulisi olla varoitus siitä, että jotain on väärin. Ehkä kyseinen sähköpostin takana oleva henkilö ei ole oikeastaan kiinnostunut työstä.
