赛门铁克发现,在前三个月中,使用恶意Windows脚本文件(WSF)附件的电邮攻击在数量上大幅上升。而且,散布勒索软件的网络攻击团伙更是一直对这种新战术大加利用。赛门铁克在上两周阻挡了多次传播Locky (Ransom.Locky)勒索软件的重大活动,而该勒索软件与恶意WSF文件有着一定联系。
WSF文件用以在单一文件中混合多种脚本语言。这种文件由Windows 脚本主机(WSH)打开和运行。某些电邮客户端不会去阻挡.wsf扩展名文件,且这种文件可像可执行文件那样启动。
在最近几次垃圾邮件传播Locky的重大活动中,网络攻击者使用了恶意WSF文件。例如,在10月3日和4日之间,赛门铁克共阻拦了130万封主题为"旅行计划"的电邮。这种电邮声称来自一家大型航空公司,在电邮附件中有一个内含WSF文件的.zip文档。如果运行该WSF文件,则Locky将安装在受害者的计算机之上。
图1. 如图所示,最近 Locky传播活动使用.zip文档内含恶意WSF文件的电邮附件
没过多久(10月5日),同一网络攻击团伙发动了另一次大型恶意垃圾邮件活动,电邮主题为“投诉信”。赛门铁克阻拦了91.8万封此类邮件。这种电邮声称来自于某个客户代表,其代表客户对“有关您提供的数据文件”进行投诉。而且,这种电邮也带有.zip文档内含恶意WSF文件的附件。如果运行该WSF文件,则Locky将安装在受害者的计算机之上。
最近几次Locky传播活动只是冰山一角。在过去的几个月中,赛门铁克阻拦了很多内含恶意WSF附件的电邮,并发现这种受阻电邮的总数明显上升。受阻电邮总数在六月份仅为2.2万,而到七月份便激增至200万,更是在九月份达到220万,创下记录。
图2. 内含恶意WSF附件的受阻电邮数量,按月份划分
通过垃圾电邮活动传播恶意软件的网络攻击团伙频繁改变所用恶意附件的格式。由于安全软件供应商提高了对某些恶意文件的防御能力,网络攻击团伙便改变战术,希望利用电邮来突破层层防守。
例如,Locky垃圾邮件通常随带一个附件,而Dridex团伙在网络攻击中也会使用到这种附件。这种垃圾邮件先前使用了含有恶意宏命令(W97M.Downloader)的Word文档附件,在今年年初开始使用恶意JavaScript附件(JS.Downloader),现在又转为使用WSF文件以代替纯JavaScript文件(也检测为JS.Downloader)。
面对不断变化的威胁,各机构需要始终警惕可能来自于新来源和未知来源的威胁。
充分保护堆栈可帮助用户抵御这些攻击。赛门铁克Email Security.cloud可抵御电邮传播威胁。而且,赛门铁克Endpoint Security可在终端阻挡恶意软件。
赛门铁克和诺顿产品在防御恶意WSF文件时采用以下检测:
反病毒:
入侵防御系统: