3、利用攻陷的edu域名传播宙斯(ZeuS)病毒：请还学校一片净土

 

2014年10底，我们接收到一份很普通的网络钓鱼邮件，包含着宣称是支付消息的附件。这个附件实际上包含一种宙斯(Zeus)病毒。为什么它可以榜上有名？因为攻击者从被攻陷的edu域名发送邮件。教育机构域名受人信任的特点与这些域名通常具有可观的免费带宽为攻击者提供了非常有吸引力的恶意软件传播平台。

　　2、Dropbox 钓鱼：欲爱不能，欲罢难休

 

像Dropbox的第三方云服务提供商的崛起为攻击者提供一种在网络中传播污秽消息的新颖的手段。在2014年6月份一大波作为Dyre木马先头部队的邮件中，我们接受到链接到Dropbox上所谓的发票文件。虽然Dropbox链接本身是合法的，但它指向一个zip文件，其中包含scr文件，而不是发票。Dropbox已经迅速禁止这类型的滥用，可事实证明，攻击者有大把的方法来绕过垃圾邮件过滤器。Dropbox的使用十分普遍，致使大多数组织不能够禁止Dropbox连接。几周后，我们在针对台湾政府的目标式攻击看到了滥用的Dropbox连接。

　　1、携带Dyre恶意软件的邮件：平凡之中的不平凡

 

2014年最臭名昭彰的钓鱼邮件咋一看似乎很无辜。实际上，我们接收到两份包含未知恶意软件的邮件，邮件中的链接指向到第三方文件共享服务提供商Cubby。邮件内容本身是平淡无奇的，其中一份邮件指示收件人打开发票的链接，而另一份邮件内容更宽泛些，指示收件人打开详细了解有关纳税失败的链接。这两份邮件均指向当今臭名远扬的恶意软件Dyre，一个针对银行信息和客户数据的远程访问木马(RAT)。Dyre的危害影响广泛，已引起美国计算机应急响应小组(US CERT)的注意。

如果我们从2014年的网络钓鱼仅了解到一件事，那就是网络钓鱼攻击者不断重复(一点创新意识都没，这年头制作棉花糖的大爷都与时俱进了，附赠棉花糖一份，抢到沙发请与客服联系)。这点有助于我们在未来防御网络钓鱼。尽管安全行业一直侧重于IP地址和恶意软件，我们也应该关注策略、技术及协议。聚焦于邮件内容、头部及URL，提炼相应的模式，并采取预防性的措施，可以提供多一层的网络钓鱼的防护。

(责任编辑：安博涛)