导语:IBM X-Force捕获了780,000封电子邮件,这些电子邮件是在5月下旬到7月中旬之间携带武器化IQY文件。
你有没有经过一家商店,发现了一件看起来很奇怪的物品,但你还是把它放在了购物车里?也许它很吸引人,因为它是你想要检查探索的新东西。也许它很闪亮,你的直觉告诉你,必须拥有它。如果是这样,威胁行为者正在寻找像你一样的购物者。他们不断发布新的“产品”,通常是狡猾的垃圾邮件,以吸引毫无戒心的用户。最近的一波恶意“产品”已经通过携带互联网或网络查询文件(IQY)附件的未经请求的电子邮件形式攻击虚拟大街。
一、IQY文件
什么是IQY文件附件,为什么它是威胁行为者的最爱?Microsoft Excel使用此类型的文件将数据从Internet提取到电子表格中。为此,将URL嵌入到IQY文件中,此文件便于从指定的网页中提取数据。
虽然IQY文件扩展名对许多用户来说听起来很陌生,但是如果你看一下使用SharePoint的企业级网络,例如一个与Microsoft Office集成的基于Web的协作平台,你肯定会找到许多使用过IQY文件的实例。
这些文件可帮助网络用户共享和编辑Excel电子表格,以及其他用途。可以想象,带有嵌入式URL的常见生产力文件可以很容易的用于恶意目的。这就是为什么这些类型的文件不会在不与用户交互的情况下运行代码的原因。为防止其内容自动加载,文件中内置了一个安全提示,询问用户打开IQY文件时是否要“启用”数据连接。
图1:警告框要求用户在IQY文件中“启用”或“禁用”数据连接(来源:IBM X-Force)
二、小巧方便
出于几个原因,IQY文件对威胁行为者很有吸引力。首先,它们很容易创建。可以使用文本编辑程序创建IQY文件。威胁行为者可以将其恶意指令与可操作的URL一起插入文本编辑器,并使用“.iqy”扩展名保存。然后,他们可以使用该文件直接从其恶意软件感染区域传递恶意代码。IQY很小且不显眼,使得它们更容易植入未经请求的电子邮件中。
这种类型的文件附件相对不常见,并且通常不会附加到电子邮件中,这可能就是攻击者感兴趣的原因。攻击者不断在其垃圾邮件行动中随机变换文件类型,试图给毫无戒心的用户一个惊喜。他们还试图防范安全解决方案,特别是那些过滤网络钓鱼和恶意软件感染活动中使用的常见文件类型和扩展的解决方案。
三、IQY 攻击
IBM X-Force研究最近的一些统计数据显示,近几个月来,在垃圾邮件活动中使用IQY文件的情况一直在增加。从2018年5月25日开始,一个主要的恶意邮件分发商——Necurs僵尸网络首次使用武器化的IQY文件附件观察到。
从2018年5月下旬到7月中旬,IBM X-Force研究人员在其垃圾邮件陷阱中捕获了来自Necurs的780,000多封垃圾邮件。所有这些消息都包含IQY附件。
图2:Necurs僵尸网络发出的携带IQY附件的垃圾邮件活动(来源:IBM X-Force)
图3:带有IQY附件的电子邮件消息示例(来源:IBM X-Force)
在进一步分析我们的垃圾邮件陷阱中捕获的电子邮件后,确认IQY附件包含恶意URL。一旦用户被诱骗执行到嵌入式URL的连接,设备上的感染链就会启动。最终下载FlawedAmmy RAT,这是一种恶意的远程访问工具,其源代码在2018年3月泄露,引发了大量的攻击行动,传播给数十万用户。
以下是Necurs IQY附件中包含的部分恶意网址:
· http://clodflarechk[.]com/2.dat
· http://brembotembo[.]com/2.dat
· http://thespecsupportservice[.]com/duo.dat
· http://brtt7[.]com/preload.gif
· http://169.239.129[.]17/404
· http://t69c[.]com/A
四、越来越多使用IQY文件的攻击行动
在2018年7月中旬,一个名为DarkHydrus 的威胁组织也开始使用恶意IQY附件。DarkHydrus的网络钓鱼邮件包含隐藏有武器化IQY文件的Roshal Archive Compressed(RAR)文件。根据SecurityWeek的说法,IQY文件中的URL会导致在受害者的设备上运行PowerShell脚本来设置后门。该行动被认为具有国家行为背景。
另一个例子:最近观察到的恶意IQY附件来自 Marap downloader malware。 Marap网络钓鱼电子邮件活动始于2018年8月。IBM X-Force研究人员从2018年8月10日开始捕获此活动的电子邮件,确认其中包含恶意IQY文件附件。
图4:携带IQY附件的电子邮件获取Marap恶意软件(来源:IBM X-Force)
五、使用IQY 的原因
使用各种鲜为人知的文件类型和扩展名在主流僵尸网络和垃圾邮件分发者中不断增长的趋势。为了确保恶意电子邮件能够到达收件人并且不会被电子邮件过滤器阻止,网络犯罪组织一直在改变策略,全年分发多种形式的诱杀文件。
由于IQY文件在许多企业网络中具有固有的实用性和普遍性,因此某些安全实践可以帮助降低与它们相关的风险,而无需完全阻止这些文件的使用。
六、防御建议
· 最好的防御策略之一是宣传流行的垃圾邮件发送者策略。确保组织中的每个人都了解IQY文件带来的危险。随着他们在垃圾邮件活动中的受欢迎程度的提高,将IQY文件纳入组织反垃圾邮件和网络钓鱼培训。
· 如果环境中未使用IQY文件,则可以使用组策略阻止它们。系统管理员可以修改信任中心设置以禁用从Excel电子表格中启动的数据连接。
· 如果组织的网络需要IQY文件,请使用高级电子邮件过滤规则。某些电子邮件安全解决方案提供了检查电子邮件附件内容的选项。请记住,阻止附件中的特定恶意内容仍然可以允许合法的IQY文件通过。
· 在允许IQY文件发件人的电子邮件过滤规则中使用IP白名单。请谨慎使用域名白名单规则,因为威胁行为者通常会在鱼叉式网络钓鱼期间欺骗电子邮件域名。
· 及时了解从中收集的新出现的威胁和IoC。阻止访问当前威胁行为者在IQY文件中使用的已知恶意URL和IoC。
· 确保安全信息甚至管理(SIEM)系统可以识别威胁,尤其是未知威胁。IBM的QRadar SIEM使用分析和智能来识别可能会被忽视的高级威胁指标。