像大多数与网络安全行业有关的每个人一样,我始终建议人们尽快对其操作系统进行更新,以减少攻击者必须跳过由未修补漏洞打开的威胁窗口的时间。但是,新的研究表明,这并不总是能像您想象的那样帮助很多。随着Windows 10更新为用户添加新的特性和功能,威胁行为者试图利用它们。最新的TrickBot恶意软件活动就是这种情况,这种新型更新的Windows 10系统的用户坚决抵制攻击。
Microsoft Word宏仍是攻击面的一部分吗?
何时对Microsoft宏威胁面进行清理?这个问题我问自己很多,我的答案总是一样的:不会很快。我遇到的第一个恶意“宏病毒”大概是1995年的Concept。后来,受感染的Word文档作为威胁传递工具而迅速普及。如此之多,这些宏默认情况下在Office 2000中被禁用。并不是说微软采取的这种主动措施阻止了威胁的浪潮,正如Google本周发现的那样,这种恶意文档占针对Gmail用户的所有恶意软件的58%证实了这一点。Windows 10用户现在被警告 针对Microsoft Word文档中的远程桌面ActiveX控件功能的新的有效活动的说明,该工具用作下载称为TrickBot的凭据收集,窃取比特币的银行木马的工具。
Windows 10用户不断发展的TrickBot威胁
我的报告的普通读者会认出这个名字;今年年初,俄罗斯TrickBot网络犯罪企业被发现正在使用Windows“后门”。去年,我警告过TrickBot,当时认为已经破坏了至少2.5亿个电子邮件帐户,并且是为了禁用Windows 10安全保护而演变的。毫不奇怪,TrickBot又有了发展。这次,Morphisec Labs的安全研究人员发现,所使用的交付方式已经与Windows 10用户牢牢地融合在一起。
研究人员警告说,TrickBot发行背后的网络罪犯正在利用威胁窗口,因为Windows 10等操作系统已更新为新功能,并且在数据防御者更新其用于检测此类威胁的技术后才会关闭。保护系统。Morphisec的CTO Michael Gorelik 说: “我们已经确定了Windows 10引入的最新版本的远程桌面ActiveX控件类的使用,攻击者利用ActiveX控件在启用后自动执行恶意宏。文档内容。”
该特定活动中的文档包含一个旨在显示加密内容的图像,该图像将ActiveX控件隐藏在其下方,该图像用于说服用户启用该内容,然后允许进行攻击。“ OSTAP”下载器元素本身通过隐藏在其他文档内容之间的白色字母出现而被混淆。人眼看不见它,但是计算机足够聪明(或者,在这种情况下是愚蠢的),足以看得很好。整个技术是专门设计用来攻击具有最新功能更新的Windows 10计算机的用户的。
Windows 10用户应采取什么措施来缓解此TrickBot活动?
在谈论TrickBot缓解措施时,用户对威胁方法论的意识以及结合强大的技术来防御威胁的方法最大。冒着听起来像是破碎的录音的风险,请不要打开您不期望的附件,当然也不要在其中启用宏,内容或编辑。始终与声称的发件人联系,以确认他们是否已向您发送了此邮件,而不是进行网络钓鱼。谷歌在这方面为Gmail用户提供了帮助,本周证实它正在使用深度学习AI技术每周扫描3000亿个附件识别并阻止此类恶意Word文档。不仅需要警惕的Word文档,所有可以使用宏且启用了编辑和内容功能的Microsoft Office格式都是潜在的攻击手段。一个著名的黑客组织正在这种正在进行的活动中,以这种方式对Excel电子表格进行武器处理。
Gorelik表示,确保您拥有操作系统的最新安全更新始终是一个不错的选择,但并不总是可行的。他说:“即使使用更新的操作系统,也仍然需要采取预防措施,例如减少攻击面,移动目标防御和强化。”