IBM Security X-Force 的研究人員最近的報告強調了一種新的惡意軟體,名為「Domino」,由一群前 Conti 勒索軟體運營者和 Fin7 開發人員進行傳播。攻擊者專注於攻擊價值較高的目標,並部署了 Domino Backdoor。這種惡意軟體相當危險,因為它能夠繞過傳統基於檢測的電子郵件安全解決方案。
多層次殺鏈 (Multi-Level Kill Chain)
Domino惡意軟體相較於一般的惡意軟體更加危險的原因在於它遵循一個多層次的殺鏈(kill chain),其中惡意負載的釋放被延遲。這個殺鏈始於釣魚郵件或惡意廣告,其中包含了一個稱為Dave的加載器,當使用者點擊可疑的連結時,這個加載器將安裝Domino後門,並連接到攻擊者的指揮和控制伺服器。
Domino後門隨後會下載Domino加載器,該加載器會安裝一個名為Nemesis的.NET資訊竊取程式。一旦嵌入,Nemesis會從使用者的瀏覽器和應用程式中收集數據。
在殺鏈的後期階段刪除這種惡意軟體是一項困難的任務,因此理想的策略是在鏈條的開始階段預防釣魚郵件。
多層次電子郵件保護以達到最大層級的保護
OPSWAT的MetaDefender Email Security解決方案利用多層次的保護方法,防止未知的利用和零時差威脅。的MetaDefender Email Security可以在點擊時檢查URL的信譽,並搭配防毒引擎,利用啟發式和機器學習預測方法。此外,它還整合了內容消毒和重建技術,對可疑檔案進行清理,生成具有相同特徵的乾淨輸出檔案。這確保即使是像Domino惡意軟體這樣的最複雜威脅,在其到達最終用戶之前就能夠被檢測和封鎖。
對於Domino惡意軟體的具體案例,該威脅將在攻擊的最早階段被有效地消除。釣魚郵件通過附件或可疑連結誘使用戶下載惡意加載器。
首先,已知釣魚URL的郵件將在到達用戶收件箱之前被封鎖。接下來,具有可疑URL的郵件可以通過將其轉換為純文本來中和其威脅。最後,無論郵件是否已傳遞,都會檢查URL的信譽,以保護用戶。
這種信譽分析包括發送者的IP地址、郵件標頭(例如發送地址、發送域名、回覆地址)以及郵件正文,包括任何隱藏的超連結。OPSWAT的MetaDefender Email Security解決方案從多個即時線上來源獲取數據,提供查找服務並返回聚合結果給用戶。這項功能使OPSWAT的MetaDefender Email Security解決方案能夠識別出在訪問內容時無法通過掃描檔案發現的威脅,例如僵屍網路或釣魚網站。
結論
OPSWAT的MetaDefender Email Security解決方案將使您的電子郵件安全達到最高水準,防止Domino等先進惡意軟體的威脅。其多重掃描和深度CDR技術,加上先進的反釣魚功能,使其成為保護組織電子郵件通訊免受先進網路威脅的強大解決方案。