关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


“模板注入”钓鱼——美国能源企业遭受新型攻击

2017-07-14 16:30 推荐: 浏览: 65字号:

摘要: 上周,美国国土安全部 DHS 和联邦调查局 FBI 发出联合警报,提醒美国涉及能源系统的企业应当小心黑客攻击活动。研究人员警告,黑客们正在针对能源公司,包括那些从事核能和其他关键基础设施技术的供应商,测试和实验新的网络攻击手段。 此次自五月开始的袭击波及美国至...

上周,美国国土安全部 DHS 和联邦调查局 FBI 发出联合警报,提醒美国涉及能源系统的企业应当小心黑客攻击活动。研究人员警告,黑客们正在针对能源公司,包括那些从事核能和其他关键基础设施技术的供应商,测试和实验新的网络攻击手段。

此次自五月开始的袭击波及美国至少十家电力公司,其中还包括堪萨斯州的 Wolf Creek 核电站。而相关的安全研究则揭示出黑客目前仍然将目标对准工控系统,并且在过去攻击的经验上,巧妙地使用“模版注入”的方式隐匿恶意文档,实施网络钓鱼,并试图获取相关能源企业的身份凭证。

通过模板注入进行网络钓鱼攻击

网络钓鱼一直是成功的攻击手段,网络犯罪分子制作看似正规的电子邮件,并将其发送给预期的受害者。这样,当打开邮件时,恶意代码将运行来完成攻击行为,包括勒索软件、窃取数据或者其他形式的攻击。

现在的攻击者不断试图寻找新方法,通过电子邮件发送恶意软件给目标用户。通常,作为附件发送网络钓鱼邮件的恶意 Word 文档本身会包含执行恶意代码的脚本或者宏。但这次使用的恶意文档(常伪装为恢复和环境报告)并未依赖VB宏或其他嵌入式脚本来传递恶意软件。当打开诱饵文档, 在启动 word 应用程序的过程中, 从攻击者控制的 SMB服务器加载一个模板文件。

像其他网络钓鱼广告活动一样,这种攻击使用与目标相关的电子邮件作为诱饵,在这种情况下,通常声称是环境报告或简历,附带的Word文档尝试在打开时收集数据。

(攻击者使用的网络钓鱼邮件)

研究人员表示,这些文件最初没有包含任何危险的迹象或与这种广告系列相关联的恶意命令。然而,附件希望从特定IP地址下载模板文件,命令中不仅包含了恶意代码,还包含了注入模板的说明,和建立通过SMB的外部服务器的连接。这种威胁说明了控制网络端口的重要性,除了特定的环境需求之外,不允许出站协议(如SMB)。

新型攻击越来越多,国内企业也要积极应对挑战

能源、核能、和其他关键基础设施,如今成为网络攻击虎视眈眈的目标,针对关键基础设施的安全防护已成为关乎国家安全的重要任务。国内的相关企业也要重视自身的工控网络安全建设,按照国家相关的安全标准和规范要求,针对自身企业网络安全现状,从技术和管理两方面加强安全建设,把工控安全建设当作企业安全生产的一部分,担当起国家和社会安全责任。

北京九略智能科技有限公司是专注于工业网络和工业控制系统安全的高科技创新型企业,聚焦于工业网络和工业控制系统的安全技术研究、安全产品研发、安全解决方案等领域,得到了行业客户和政府部门的高度认可。公司总部位于北京,分别在上海、杭州、深圳、武汉设立有分支机构。
【官方网站:www.jiuluetec.com】
【官方微博:http://weibo.com/jiuluetec】
联系站长租广告位!

中国首席信息安全官
Copy link