微软警告近日越来越多攻击者,使用HTML挟带(HTML smuggling)这种隐匿手法,躲过安全产品防堵以成功传播恶意程序。
HTML挟带是利用HTML5和JavaScript的高度隐匿攻击手法。攻击者制作挟带恶意JavaScript的HTML网页,并发送含有URL或附件的钓鱼信件,诱使用户点击并打开附件。主流浏览器解码JavaScript、加载网页,从网站下载恶意程序,并在用户设备上组合成恶意文件,如银行木马或勒索软件。
图片来源_微软
早在5月,俄国黑客组织Nobelium活动即使用HTML挟带手法,但近日微软发现更多案例。7月有2波电子邮件攻击活动利用这手法,传播银行木马Mekotio及Ousaban,受害者分布巴西、墨西哥、秘鲁、西班牙和葡萄牙。7月和9月分别有钓鱼信件传播木马AsyncRAT/NJRAT及Trickbot(如下图所示)。此外,微软发现到一个黑客组织利用HTML挟带锁定教育及健康产业,先黑入用户计算机再传播Ryuk勒索软件。
图片来源_微软
HTML挟带手法是使用HTML5或JavaScript的合法功能,并且在网络防火墙后合成恶意文件,而非从外部域名下载恶意执行文件,因此能躲过一般周界的安全产品,像是Web代理程序和电子邮件网关的检查,因这些产品只根据特征和规则检查可疑附件(如EXE、ZIP和DOCX)或流量,使其成为高度隐匿的攻击手法。
微软建议启动端点安全规则,包括防止JavaScript、VBScript及未受信任的执行文件。此外,使用能扫描恶意连接、恶意附件的电子邮件安全产品、防火墙及代理服务器,避免任意连接外部网站及下载文件,可以防堵这类攻击手法。
不过HTML挟带攻击仍然需要用户动作,点击URL或邮件附件。因此要防止这类攻击,最根本方法是用户提高警觉,不要随意打开陌生或不受信赖来源的电子邮件。