利用IQY文件 小而便利的攻击方式 利用Necurs僵尸网络传播

最近,攻击者不断发布新的“工具”,通常是狡猾的电子邮件垃圾邮件,以吸引毫无戒心的用户。最近的一波恶意“产品”已经通过互联网或网络查询文件(IQY)附件的未经请求的电子邮件形式进入网络

什么是IQY文件?

什么是IQY文件附件,Microsoft Excel使用此类型的文件将数据从Internet提取到电子表格中。为此,将URL嵌入到IQY文件中,该文件便于从指定的网页中提取数据。虽然IQY文件扩展名对许多用户来说听起来很陌生,但是如果你看一下使用SharePoint的企业级网络,例如一个与Microsoft Office集成的基于Web的协作平台,你肯定会找到许多IQY文件的实例。

这些IQY文件可帮助网络用户共享和编辑Excel电子表格,以及其他用途。可以想象,带有嵌入式URL的常见生产力文件可以很容易地用于恶意目的。这就是为什么这些类型的文件不会在不与用户交互的情况下运行代码的原因。为防止其内容自动加载,文件中内置了一个安全提示,询问用户打开IQY文件时是否要“启用”数据连接。

图1:警告框要求用户在IQY文件中“启用”或“禁用”数据连接

 

IQY文件对攻击者很有吸引力。

首先,它们很容易创建。可以使用文本编辑程序创建IQY文件。威胁攻击者可以将其恶意指令与可操作的URL一起插入文本编辑器,并使用“.iqy”扩展名保存。然后,他们可以使用该文件直接从其恶意软件感染区域传递恶意代码。IQY也很小且不显眼,使得它们更容易植入未经请求的电子邮件中。

这种类型的文件附件相对不常见,并且通常不会附加到电子邮件中,这就是攻击者可能感兴趣的原因。攻击者不断在其垃圾邮件活动中随机播放文件类型,试图为毫无戒心的用户创建一个惊喜元素。他们还试图防范安全解决方案,特别是那些过滤网络钓鱼和恶意软件感染活动中使用的常见文件类型和扩展的解决方案。

IQY攻击事件呈上涨趋势

IBM X-Force研究最近的一些统计数据显示,近几个月来,在垃圾邮件活动中使用IQY文件的情况一直在增加。从2018年5月25日开始,首次使用武器化的IQY文件附件观察到一个主要的malspam分销商Necurs僵尸网络。

从2018年5月下旬到7月中旬,研究人员在其垃圾邮件陷阱中捕获了来自Necurs资源的780,000多封垃圾邮件。所有这些消息都包含IQY附件。

阅读白皮书:数字银行如何改变欺诈检测

图2:Necurs僵尸网络发出的IQY附件垃圾邮件活动(来源:IBM X-Force)

图3:带有IQY附件的电子邮件消息示例

在进一步分析我们的垃圾邮件陷阱中捕获的电子邮件后,确认IQY附件包含恶意URL。一旦用户被诱骗执行与嵌入式URL的连接,设备上的感染链就会启动。这导致最终下载FlawedAmmy RAT,这是一种恶意的远程访问工具,其源代码在2018年3月泄露,引发了大量的活动,将这种恶意软件传播给数十万用户。

以下是广告系列X-Force中的Necurs IQY附件中包含的恶意网址的一些示例:

HTTP:[。] // clodflarechk COM / 2.dat

HTTP:[。] // brembotembo COM / 2.dat

HTTP:[。] // thespecsupportservice COM / duo.dat

HTTP:[。] // brtt7 COM / preload.gif

HTTP://169.239.129四百〇四分之一十七[。]

HTTP:[。] // t69c COM / A

足够的IQY文件可供使用

在2018年7月中旬,一个名为DarkHydrus的攻击组织也开始使用恶意IQY附件。DarkHydrus的长矛网络钓鱼邮件包含隐藏武器化IQY文件的Roshal Archive Compressed(RAR)文件。根据SecurityWeek的说法,IQY文件中的URL导致在受害者的设备上运行PowerShell脚本来设置后门。该运动被认为是民族国家的动机。

另一个例子:最近观察到的恶意IQY附件的使用来自Marap下载恶意软件。Marap网络钓鱼电子邮件活动始于2018年8月.IBM X-Force研究人员从2018年8月10日开始捕获此活动的电子邮件,确认其中包含恶意IQY文件附件。

图4:携带Marap恶意软件的IQY附件的上传电子邮件

IQY – 你知道为什么……

在垃圾邮件中使用各种常常鲜为人知的文件类型和扩展名是主要僵尸网络和垃圾邮件分发者中不断增长的趋势。为了确保他们的恶意电子邮件能够到达收件人并且不会被电子邮件过滤器阻止,网络犯罪小组一直在改变他们的策略,全年提供多种形状的诱杀文件。

由于IQY文件在许多企业网络中具有固有的实用性和普遍性,因此某些安全实践可以帮助降低与它们相关的风险,而无需完全阻止这些文件的使用。

如何防御IQY攻击

最好的防御策略之一是宣传流行的垃圾邮件发送者策略。确保组织中的每个人都了解IQY文件带来的危险。随着他们在垃圾邮件活动中的受欢迎程度的提高,将IQY文件纳入组织反垃圾邮件和网络钓鱼培训。

如果您的环境中未使用IQY文件,则可以使用组策略阻止它们。系统管理员可以修改信任中心设置以禁用从Excel电子表格中启动的数据连接。

如果您单位的网络上需要IQY文件,请使用高级电子邮件过滤规则获取广告素材。某些电子邮件安全解决方案提供了检查电子邮件附件内容的选项。请记住,阻止附件中的特定恶意内容仍然可以允许合法的IQY文件通过。

在电子邮件过滤规则中使用IP白名单,以获取IQY文件的允许发件人。请谨慎使用域名白名单规则,因为威胁演员通常会在鱼叉式网络钓鱼尝试期间欺骗电子邮件域。

及时了解新出现的威胁和妥协指标(IoC)。阻止访问当前威胁参与者在IQY文件中使用的已知恶意URL IoC。

 

发表评论