【网络威胁情报观察之一】利用COVID-19主题的网络犯罪活动

威胁分析摘要

• 德勤CTI审查了COVID-19爆发后与网络犯罪活动有关的所有事件/活动，从主要攻击媒介、相关恶意软件以及寻求利用流行病的犯罪威胁参与者的目标等方面得出总体趋势结论。
• COVID-19相关主题的垃圾邮件通常使用以下两种方法之一来发送恶意软件：电子邮件附件或恶意链接。在这两种情况下，它们通常都包含一个中间下载器，作为实际恶意软件有效负载的传递机制。
• 德勤CTI评估发现，威胁参与者是通过使用COVID-19主题的、带有嵌入式链接的网络钓鱼电子邮件来窃取信息的，而这些电子邮件更可能包含云托管服务。
• 德勤CTI确信，使用了COVID-19主题的大多数恶意软件，是通过使用压缩文件格式（例如.rar，.gz，.zip，.iso，.arj）和结合办公软件来进行信息窃取的。较不常见的是，它们也会进行漏洞利用，但更多时候依赖于启用宏的文档。
• 德勤CTI高可信度的分析发现，威胁参与者将利用对特定受感染用户（例如CEO和其他机构领导）的固有信任，在以COVID-19为主题的信息窃取之后继续实施内部鱼叉式攻击。
• 德勤CTI高可信度的分析发现，威胁参与者将会越来越多且高效地使用与COVID相关的主题，以推进入侵活动。
• 德勤CTI以中等可信度分析发现，最常见的恶意软件是利用COVID相关主题来进行信息窃取的。此类恶意软件可被用作中间负载，最终会检索至RAT，Banking木马，后门，勒索软件，以及偶尔情况下，加密的矿工程序。
• 德勤CTI高可信度的分析发现，将有越来越多地成为网络犯罪分子试图利用危机所需的不确定性和快速响应能力，会将与COVID-19反应直接相关的组织，尤其是生命科学和医疗保健领域的组织作为其攻击目标。

安全风险建议

德勤建议如下：

• 避免单击电子邮件消息中嵌入的主题行声称包含与COVID-19或冠状病毒相关的信息的附件或链接。
• 使用防火墙和入侵检测/防御系统（IDS / IPS）来检测和阻止与恶意软件命令与控制（C2）节点的网络通信。
  • 考虑基于包含COVID，冠状病毒以及其他包含不常见文件类型（例如iso，arj）。
  • 关注在常见滥用的云端主机服务，域名服务器和不寻常TLD（例如.tk，.pw等）上基于COVID-19相关域发出的警报和告警。
  • 在诸如Snort或Suricata之类的网络上部署入侵检测安全控制，以检测被利用后的恶意活动。
  • 启用并配置Windows审核策略和日志记录，并设置注册表以启用进程命令行日志记录。
• 鼓励可疑电子邮件的接收者通过备用通信方法、安全通道来校验表面上的发件人，而不是使用邮件消息中提供的联系信息。
  • 尤其相关是的，发起付款、提供服务或差旅费用有关的电汇的用户。
• 确保为所有关键系统和数据存储常规的脱机备份，以减轻潜在的勒索软件攻击。
• 请勿支付勒索软件费用，因为对手没有义务还原那些即使获得所需的加密密钥后也可能无法恢复的文件。
• 禁止自动保存到用户的“下载”文件夹，且从该位置自动执行应用程序或打开数据文件。
• 使用组策略阻止用户在任何Microsoft Office应用程序中启用宏。
• 充分记录主机和用户活动，可以利用和分析主机和用户活动中可疑的威胁参与者活动或试图破坏主机和/或用户帐户的行为。

德勤威胁情报中心CTI

随着网络威胁的演变和越来越复杂化，许多企业领导者都意识到他们无法单独应对挑战。这就是德勤提供全球化网络安全情报中心（CIC）的初衷，该中心全年365天全天候运营。我们的CIC提供完全可定制的托管安全解决方案，包括针对企业所在地区的高级安全事件监控，威胁分析，网络威胁管理和事件响应，以满足不断增长的网络安全服务市场需求。