ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1193

术语表: /attack/glossary

鱼叉式钓鱼附件

鱼叉式钓鱼附件是鱼叉式钓鱼的一种特殊变体。 鱼叉式钓鱼附件不同于其他形式的鱼叉式钓鱼,它利用附加到电子邮件的恶意软件。 所有形式的鱼叉式钓鱼都是以电子方式提供的针对特定个人,公司或行业的社会工程。 在这种情况下,攻击者将文件附加到鱼叉式钓鱼电子邮件并通常依赖用户执行 (User Execution ) 来获得执行。 附件可以是 Microsoft Office 文档、可执行文件、pdf 或存档文件等。 在打开附件(并可能点击过去的保护)时,攻击者的有效载荷会利用漏洞或直接在用户系统上执行。 钓鱼式电子邮件的文本通常试图给出一个文件应被打开的合理理由,并可能说明这样做需要如何绕过系统保护。 电子邮件还可能包含有关如何解密附件(如 zip 文件密码)以避开电子邮件边界防御的说明。 攻击者经常操纵文件扩展名和图标,以便使附加的可执行文件显示为文档文件,或者使应用程序显示为文件的文件。

缓解

可以使用网络入侵防御系统和旨在扫描和删除恶意电子邮件附件的系统来拦截活动。 解决方案可以是基于签名和行为的,但是攻击者可能以某种方式构造附件来绕过这些机制。 拦截在默认情况下不应通过电子邮件进行传输的未知或未使用的附件,作为防止某些载体的最佳实践,例如。.scr,.exe, .pif, .cpl 等,一些电子邮件扫描设备可以打开并分析压缩和加密格式,如可能用来隐藏在混淆恶意附件文件或信息的 zip 和 rar。 这种技术涉及到在终端上与用户交互,因此难以完全缓解。 然而,也有潜在的缓解措施。 可以培训用户,使其能够识别社会工程技术和钓鱼邮件。 以使用应用程序白名单阻止下载附件的执行 杀毒软件还可以自动隔离可疑文件。

检测

网络入侵检测系统和电子邮件网关可用于检测带有恶意附件的鱼叉式网络钓鱼。 引爆设计(detonation chambers)也可用于识别恶意附件。 解决方案可以是基于签名和行为的,但是攻击者可能以某种方式构造附件来避免这些机制。 杀毒软件在扫描存储在电子邮件服务器或用户计算机上的文件时,可能会检测到恶意文档和附件。 终端检测或网络检测可以在打开附件(例如 Microsoft Word 文档或 PDF 文件,可以连接到 internet 或生成 Powershell.exe) 时潜在地检测恶意事件,这些事件与客户端执行和脚本的漏洞利用等技术有关。