四川
涼山新青年
有態(tài)度 有溫度 有你有我
日常生活中,經(jīng)常用到各種Word、PDF文件。但你是否想過,一份看似平常的DOC或PDF文檔,可能正攜帶著竊取機密的惡意代碼?
今天,帶你了解有關(guān)案例及相關(guān)防范措施。
典型案例
Word、PDF是怎樣成為“竊密工具”的?
攻擊者精心構(gòu)造了兩種誘餌文件。
套路1:嵌入惡意宏的Word文檔,“啟用內(nèi)容”就是“開門揖盜”
攻擊者將惡意宏代碼嵌入Word文檔,偽裝成會議通知、合同、補丁說明等常用文件,郵件標題仿官方口吻,極具迷惑性。用戶打開文檔后,會彈出“啟用宏才能正常顯示”的提示,一旦點擊“啟用內(nèi)容”,宏代碼將自動執(zhí)行:解密釋放惡意載荷,生成偽裝成合法程序的可執(zhí)行文件,植入后門,實現(xiàn)開機自啟、遠程控機,全程靜默無提示。
套路2:偽裝成PDF的可執(zhí)行文件,“雙擊打開”就會“引狼入室”
這種手法更具欺騙性,主要有兩種形式:一是“雙后綴偽裝”,文件名看似“xxx.pdf”,實際是“xxx.pdf.exe”,圖標顯示為PDF,用戶雙擊后,看似打開PDF,實則運行可執(zhí)行程序,釋放后門;二是“惡意文件偽裝”,將惡意.desktop文件偽裝成PDF,用戶誤點后,觸發(fā)隱藏命令,下載竊密程序。
提醒
一、提高風(fēng)險意識,防范陌生郵件。立即禁用Office軟件默認宏執(zhí)行功能,僅允許受信任、已簽名的宏運行;嚴禁打開陌生郵件附件中的Word文檔,若確需打開,先核實發(fā)件人身份,確認無風(fēng)險后,關(guān)閉宏功能再瀏覽,堅決不點擊“啟用內(nèi)容”。
二、警惕PDF陷阱,規(guī)范打開流程。接收PDF文件時,先查看文件名后綴,警惕“pdf.exe”雙后綴文件,避免雙擊直接打開;通過正規(guī)PDF閱讀器打開文件,開啟安全模式,禁止PDF自動運行嵌入式程序;不接收陌生來源、無明確用途的PDF文件,尤其是壓縮包中的PDF附件。
三、強化終端防護,全面排查隱患。組織終端安全排查,刪除SystemProc.exe等惡意程序;實時監(jiān)控注冊表啟動項異常寫入,清除后門自啟配置;部署動態(tài)沙箱等安全防護工具,深度查殺偽裝文檔。
來源 | 四川日報
本期編輯 | 番茄
一審一校 | 賴小小
二審二校 | 沈莉
三審三校 | 馬吉石子
微博 | @涼山共青團
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
