恶意垃圾邮件附件中新出现的文件类型概览

恶意垃圾邮件附件中新出现的文件类型概览 引言 随着网络攻防的演进，网络犯罪分子不断开发新的更具创造性的恶意软件传播方式。研究人员发现最近的垃圾邮件攻击活动中出现了一些之前很少用到的文件类型。本教学文档将详细介绍这些新型恶意文件类型及其传播机制。 传统恶意文件类型回顾 2017年报告中发现的常见恶意文件类型包括： .XLS .PDF .JS .VBS .DOCX .DOC .WSF .XLSX .EXE .HTML 新出现的恶意文件类型 1. ARJ和Z文件 ARJ文件 定义 ：Archived by Robert Jung，上世纪90年代的档案压缩工具 特点 ：只支持Intel的16-bit与32-bit CPU 近期活动 ： Trend Micro检测到7000个ARJ压缩的恶意文件 主题通常为"STATEMENT OF OUTSTANDING BALANCE AS YOUR REFERENCE"或"New Order-Snam Thai Son Group//PO//Ref 456789"等 感染机制 ： 用户下载恶意ARJ文件 文件释放并执行可执行文件或屏幕保护文件 2014年变种会将受感染计算机变成僵尸网络的一部分 近期变种是监视软件，可窃取： 浏览器中的系统用户名和密码 邮件服务平台的已保存邮箱凭证 Z文件 定义 ：基于UNIX的压缩文件格式，逐渐被GNU Gzip替代 欺骗手段 ：使用双扩展名(如.PDF.z)迷惑用户 恶意行为 ： 包含明文的.exe文件和可执行屏幕保护文件 传播的后门payload可以： 打开、重命名和删除文件 进行键盘输入记录 使用摄像头和麦克风获取图像和录音 2. PDF文件的新型利用方式 嵌入IQY和PUB文件 感染链 ： PDF附件中嵌入IQY或PUB文件 下载后，JS代码执行这些文件 使用 exportDataObject 函数导出和启动恶意软件 函数名为 nLaunch 导出的对象和文件通过 cName 指定 nLaunch = 2 表示文件会先保存在%TEMP%目录 IQY文件 全称 ：Internet Query Files 传播历史 ： Necurs垃圾邮件活动曾滥用Excel DDE特征传播FlawedAmmyy RAT 之后开始流行使用IQY文件作为感染向量 近期案例 ： 嵌入PDF中传播Marap木马 日本地区滥用IQY文件传播BEBLOH和URSNIF恶意软件 PUB文件 定义 ：微软Office Publisher文件 利用方式 ： 嵌入恶意宏文件 打开文件后，嵌入的宏文件自动执行 3. SettingContent-ms文件 来源 ：Windows 10发布后出现的新文件类型 正常用途 ：含有Windows函数的设置内容，用于创建老版Windows控制面板的快捷方式 恶意利用 ： 被嵌入到Office应用中 7月初的垃圾邮件活动中，PDF文档嵌入恶意SettingContent-ms文件传播FlawedAmmyy RAT 技术细节 ： 通过替换 DeepLink 标签的方式滥用 可执行恶意代码 防御建议 文件类型意识 ：警惕不常见的文件类型，特别是双扩展名文件 邮件过滤 ：部署能够检测嵌套恶意文件的邮件安全解决方案 宏设置 ：禁用Office文档中的宏执行，除非明确可信 系统更新 ：保持操作系统和应用程序最新，修补已知漏洞 用户教育 ：培训员工识别可疑邮件和附件 端点保护 ：部署能够检测和阻止新型恶意文件的安全软件 总结 网络犯罪分子不断寻找新的文件类型来绕过安全检测。了解这些新型恶意文件类型及其传播机制对于构建有效的防御策略至关重要。安全团队应持续关注威胁情报，及时更新防护措施以应对这些不断演变的威胁。