Sikkerhetsindustrien har fremhevet cyberkriminell misbruk av HTML i årevis – og bevis tyder på at det fortsatt er et vellykket og populært angrepsverktøy. I fjor vi rapportert at rundt én av fem (21 %) av alle HTML-vedlegg skannet av Barracuda i mai 2022 var skadelige. Ti måneder senere har dette tallet mer enn doblet seg – 45.7 % av skannede HTML-filer ble funnet å være skadelige i mars 2023.
Den legitime bruken av HTML
HTML står for Hypertext Markup Language, og det brukes til å lage og strukturere innhold som vises på nettet. HTML er også ofte brukt i e-postkommunikasjon - for eksempel i automatiserte rapporter som brukere kan motta regelmessig, for eksempel nyhetsbrev, markedsføringsmateriell og mer. I mange tilfeller er rapporter vedlagt en e-post i HTML-format (med filtypen .html, .htm eller .xhtml, for eksempel).
Hvis kommunikasjonen ser ut til å komme fra et kjent eller pålitelig merke, er det usannsynlig at mottakeren er mistenksom.
Ondsinnet bruk av HTML
Imidlertid kan angripere med hell utnytte HTML som en angrepsteknikk ved å bruke godt utformede meldinger og/eller kompromitterte nettsteder og ondsinnede HTML-filvedlegg for å lure brukere.
Denne tilnærmingen brukes av angripere for å skjule ondsinnede hensikter som phishing og legitimasjonstyveri og mer.
Hvis mottakeren åpner HTML-filen, vil flere omdirigeringer via JavaScript-biblioteker som er vert andre steder ta dem til et phishing-nettsted eller annet skadelig innhold kontrollert av angriperne. Brukere blir deretter bedt om å skrive inn legitimasjonen for å få tilgang til informasjon eller laste ned en fil som kan inneholde malware.
Men i noen av tilfellene sett av Barracuda-forskere, inneholder HTML-filen i seg selv sofistikert skadelig programvare som har den fullstendige skadelige nyttelasten innebygd i seg, inkludert kraftige skript og kjørbare filer. Denne angrepsteknikken blir mer utbredt enn de som involverer eksternt hostede JavaScript-filer.
Beskyttelse mot ondsinnede HTML-baserte angrep bør ta hensyn til hele e-posten som inneholder HTML-vedlegg, se på alle omdirigeringer og analysere innholdet i e-posten for ondsinnet hensikt. Mer om det nedenfor.
Nylige eksempler på ondsinnede HTML-vedlegg ligner ofte på de som er sett tidligere.
For eksempel har følgende phishing-vedlegg som ser ut som en Microsoft-pålogging vært populært i noen år, men deres fortsatte og utbredte bruk i angrep tyder på at angripere fortsatt lykkes med å fange ofre.
Andel unike angrep
Hvis du sammenligner det totale antallet ondsinnede HTML-deteksjoner med hvor mange forskjellige (unike) filer som ble oppdaget, blir det klart at det økende volumet av ondsinnede filer som oppdages ikke bare er et resultat av et begrenset antall masseangrep, men et resultat av mange forskjellige angrep hver ved hjelp av spesiallagde filer.
For eksempel avslører daglige deteksjonsdata for de tre månedene fra januar til mars 2023 to betydelige angrepstopper, 7. mars og 23. mars.
Den 7. mars ble det oppdaget 672,145 181,176 ondsinnede HTML-artefakter totalt, bestående av 27 XNUMX forskjellige elementer. Dette betyr at rundt en fjerdedel (XNUMX %) av de oppdagede filene var unike og resten var gjentatte eller massedistribusjoner av disse filene.
Den 23. mars var imidlertid nesten ni av ti (405,438 85 — 475,938 %) av de totalt XNUMX XNUMX ondsinnede HTML-artefaktene unike - noe som betyr at nesten hvert eneste angrep var forskjellig.
HTML-vedlegg fortsetter å dominere listen over filtyper som brukes til ondsinnede formål
Barracuda-analyse viser videre at ikke bare det totale volumet av ondsinnede HTML-vedlegg øker, nesten et år etter vår forrige rapport, HTML-vedlegg er fortsatt den filtypen som mest sannsynlig blir brukt til ondsinnede formål.
Når det kommer til angrepstaktikker og verktøy, ser det ikke ut til at det at noe har eksistert en stund gjør det mindre potent. Ondsinnet HTML brukes fortsatt av angripere fordi det fungerer. Å få den riktige sikkerheten på plass er like viktig nå som det noen gang har vært, om ikke mer.
Slik beskytter du deg mot ondsinnede HTML-vedlegg
- E -postbeskyttelse – Det er viktig å ha effektiv e-postbeskyttelse på plass og sikre at sikkerhetsskanningen din kan identifisere og blokkere ondsinnede HTML-vedlegg. Fordi disse ikke alltid er enkle å identifisere av grunnene ovenfor, vil de beste løsningene inkludere maskinlæring og statisk kodeanalyse som vil evaluere innholdet i en e-post og ikke bare et vedlegg.
- Brukerutdanning og bevisstgjøring – Lær folk til å oppdage og rapportere potensielt skadelige HTML-vedlegg. Gitt volumet og mangfoldet av denne typen angrep, er det sannsynligvis greit å være på vakt mot alle HTML-vedlegg, spesielt de som kommer fra kilder de ikke har sett før. Minn folk om ikke å dele påloggingsinformasjonen sin med noen, noensinne.
- Robust autentisering og tilgangskontroll – Multifaktorautentisering (MFA) er fortsatt en god tilgangskontroll, men angripere tyr i økende grad til avanserte sosiale ingeniørteknikker, som f.eks. MFA tretthet å omgå mange typer MFA-beskyttelse. Vurder å slå til Null tillitstilgang tiltak for å øke sikkerheten. En effektiv Zero Trust-løsning som f.eks Barracuda CloudGen Access dynamisk overvåker flere parametere – bruker, enhet, plassering, tid, ressurser som brukes og mer – noe som gjør det mye vanskeligere for angripere å kompromittere nettverket ditt ved å bruke stjålet legitimasjon.
- Hvis en ondsinnet HTML-fil slipper gjennom – Sørg for at du har verktøy for utbedring etter levering for raskt å identifisere og fjerne ondsinnede e-poster fra alle brukerinnbokser. An automatisert hendelsesrespons kan bidra til å gjøre dette før angrepet sprer seg gjennom en organisasjon. I tillegg, beskyttelse av kontoovertakelse kan overvåke og varsle deg om mistenkelig kontoaktivitet hvis påloggingsinformasjonen skulle bli kompromittert.
Barracuda har identifisert 13 e-posttrusselstyper og publisert en guide forklarer hvordan de retter seg mot og kompromitterer ofre, og hvordan de kan forsvare seg mot dem.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
- Minting the Future med Adryenn Ashley. Tilgang her.
- kilde: https://www.darkreading.com/application-security/threat-spotlight-proportion-of-malicious-html-attachments-doubles-within-a-year
- : har
- :er
- :ikke
- 13
- 2022
- 2023
- 23
- 7
- a
- ovenfor
- adgang
- aksesseres
- Logg inn
- aktivitet
- tillegg
- avansert
- mot
- Varsle
- Alle
- også
- alltid
- an
- analyse
- analyserer
- og
- noen
- noen
- vises
- vises
- tilnærming
- ER
- rundt
- AS
- At
- angripe
- Angrep
- Autentisering
- Automatisert
- Barracuda
- basert
- basis
- BE
- fordi
- blir
- bli
- vært
- før du
- være
- under
- BEST
- Blokker
- merke
- men
- by
- CAN
- bærer
- saker
- fjerne
- kode
- Kom
- kommer
- kommer
- vanligvis
- Kommunikasjon
- sammenligne
- fullføre
- kompromiss
- kompromittert
- Vurder
- innhold
- fortsette
- fortsatte
- kontroll
- kontrolleres
- kontroller
- skape
- KREDENSISJON
- Credentials
- CYBERKRIMINELL
- daglig
- dato
- distribusjoner
- oppdaget
- Gjenkjenning
- enhet
- forskjellig
- vanskelig
- Mangfold
- do
- gjør
- ikke
- Dominere
- doblet
- Dobler
- nedlasting
- hver enkelt
- lett
- Kunnskap
- Effektiv
- andre steder
- emalje
- e-post
- innebygd
- Ingeniørarbeid
- forbedre
- sikre
- Enter
- Hele
- spesielt
- avgjørende
- evaluere
- NOEN GANG
- Hver
- bevis
- eksempel
- eksempler
- forlengelse
- eksternt
- Figur
- filet
- Filer
- etter
- Til
- format
- funnet
- fra
- videre
- få
- få
- gitt
- god
- Økende
- Ha
- hjelpe
- utheving
- vert
- Hvordan
- Hvordan
- HTML
- HTTPS
- identifisert
- identifisere
- if
- viktig
- in
- hendelse
- inkluderer
- Inkludert
- økende
- stadig
- industri
- informasjon
- hensikt
- intensjoner
- inn
- IT
- varer
- selv
- Januar
- Javascript
- jpg
- bare
- kjent
- Språk
- Siste
- I fjor
- læring
- legitim
- mindre
- Leverage
- bibliotekene
- i likhet med
- Sannsynlig
- Begrenset
- Liste
- plassering
- Logg inn
- ser
- UTSEENDE
- gjøre
- GJØR AT
- malware
- mange
- Mars
- Marketing
- Mass
- materialer
- Kan..
- midler
- meldinger
- MFA
- Microsoft
- kunne
- Overvåke
- skjermer
- måneder
- mer
- mest
- mye
- multifaktorautentisering
- flere
- nesten
- nettverk
- nyhetsbrev
- nå
- Antall
- of
- ofte
- on
- på nett
- bare
- åpner
- or
- organisasjon
- Annen
- vår
- samlet
- parametere
- Past
- Ansatte
- phishing
- Sted
- plato
- Platon Data Intelligence
- PlatonData
- Populær
- potensielt
- sannsynligvis
- Andelen
- beskytte
- beskyttelse
- formål
- Fjerdedel
- raskt
- grunner
- mottak
- regelmessig
- forbli
- forblir
- fjerne
- gjenta
- rapporterer
- Rapporter
- forskere
- Ressurser
- REST
- resultere
- avslører
- skanning
- skript
- sikkerhet
- sett
- Del
- bør
- Viser
- signifikant
- lignende
- ganske enkelt
- enkelt
- nettstedet
- So
- selskap
- Sosialteknikk
- løsning
- Solutions
- noen
- noe
- sofistikert
- Kilder
- spesielt
- Spot
- Spotlight
- Sprer
- står
- Still
- stjålet
- struktur
- vellykket
- vellykket
- slik
- foreslår
- mistenkelig
- taktikk
- Ta
- overtakelse
- Target
- teknikker
- ti
- enn
- Det
- De
- tyveri
- deres
- Dem
- deretter
- Der.
- Disse
- de
- denne
- De
- trussel
- tre
- Gjennom
- tid
- til
- verktøy
- verktøy
- Totalt
- Tog
- fangst
- Stol
- klarert
- Turning
- to
- typen
- typer
- unik
- bruke
- brukt
- Bruker
- Brukere
- ved hjelp av
- av
- ofre
- volum
- var
- nettsteder
- var
- hvilken
- mens
- allment
- utbredt
- vil
- med
- innenfor
- virker
- år
- år
- Du
- Din
- zephyrnet
- null
- null tillit