當(dāng)政治爭(zhēng)議成為黑客武器，一場(chǎng)隱蔽的網(wǎng)絡(luò)攻擊正在上演。

在印巴因恐襲事件關(guān)系高度緊張之際，瑞星威脅情報(bào)中心近日揭露南亞 APT 組織 SideWinder 針對(duì)巴基斯坦的精密網(wǎng)絡(luò)攻擊——該組織通過(guò)偽造巴基斯坦政府域名投遞誘餌文件，采用“視覺(jué)誘餌+靜默執(zhí)行”的雙重技術(shù)手段實(shí)施隱蔽攻擊。

值得關(guān)注的是，在全球最大的病毒檢測(cè)網(wǎng)站VirusTotal上，62家安全廠商中，瑞星是唯一識(shí)破此次攻擊中惡意CHM文件的安全廠商，為后續(xù)精準(zhǔn)攔截攻擊鏈條及追溯源頭奠定了關(guān)鍵技術(shù)基礎(chǔ)。

“政治誘餌+技術(shù)欺騙”：攻擊手法深度解析

此次攻擊中，SideWinder組織精心設(shè)計(jì)“政治誘餌鏈”：通過(guò)偽造的巴基斯坦政府官方域名 “pakistan.govpk.email” 發(fā)送加密壓縮包，壓縮包內(nèi)的CHM文件以《印度宗教基金法修正案威脅穆斯林遺產(chǎn)》為標(biāo)題，內(nèi)容充斥極易引發(fā)印巴宗教與政治爭(zhēng)議的觀點(diǎn)，利用公眾對(duì)政治事件的關(guān)注心理，誘導(dǎo)用戶點(diǎn)擊執(zhí)行惡意程序。

瑞星安全專家表示，這個(gè)看似“正常”的CHM文件暗藏殺機(jī)。該文件采用雙重欺騙設(shè)計(jì)：

l 一方面以Base64編碼圖片作為視覺(jué)誘餌，通過(guò)圖文混排的形式使惡意文件從外觀上更接近正常文檔，降低用戶警惕性；

l 另一方面利用ActiveX組件的自動(dòng)點(diǎn)擊功能，讓用戶無(wú)需手動(dòng)操作，自動(dòng)運(yùn)行同目錄下的遠(yuǎn)控木馬程序。

唯一檢出：瑞星從檢測(cè)到溯源的關(guān)鍵突破

在此次攻擊中，SideWinder組織使用的CHM文件堪稱“隱形威脅”，其在VirusTotal平臺(tái)一直為“零檢出” 狀態(tài)。截至瑞星披露時(shí)，全球62家安全廠商中僅有瑞星檢出，精準(zhǔn)識(shí)別其“Base64圖片偽裝+ActiveX自動(dòng)執(zhí)行” 的復(fù)合攻擊結(jié)構(gòu)。

此外，在遠(yuǎn)控木馬程序檢測(cè)中，僅有包括瑞星在內(nèi)的4家廠商成功識(shí)別風(fēng)險(xiǎn)。瑞星進(jìn)一步通過(guò)代碼特征比對(duì)與威脅情報(bào)關(guān)聯(lián)，明確將該木馬程序與SideWinder組織掛鉤，為追蹤攻擊源頭提供了核心情報(bào)支撐。

瑞星的技術(shù)優(yōu)勢(shì)不止于 “首個(gè)發(fā)現(xiàn)”，更體現(xiàn)在對(duì)攻擊全流程的立體把控：

l 攻擊鏈可視化還原：依托瑞星EDR系統(tǒng)，可完整記錄“CHM文件激活→ActiveX組件調(diào)用→木馬運(yùn)行→境外服務(wù)器連接” 的每一步異常行為，生成包含進(jìn)程關(guān)聯(lián)圖譜與時(shí)間軸的可視化報(bào)告，實(shí)現(xiàn)攻擊路徑的全透明追溯。

l 自動(dòng)化防御閉環(huán)構(gòu)建：瑞星ESM憑借靜態(tài)特征檢測(cè)與動(dòng)態(tài)行為分析，精準(zhǔn)查殺此次攻擊的惡意CHM文件及遠(yuǎn)控木馬，自動(dòng)執(zhí)行隔離文件、終止進(jìn)程等操作，從終端側(cè)徹底阻斷攻擊鏈路。

深層風(fēng)險(xiǎn)與防范：APT協(xié)同攻擊的應(yīng)對(duì)策略

瑞星安全專家表示，此次攻擊暴露出兩大深層風(fēng)險(xiǎn)：

l 跨組織技術(shù)共享：SideWinder采用的“視覺(jué)誘餌+靜默執(zhí)行”手法與南亞APT組織 Mysterious Elephant高度相似，這暗示地區(qū)性黑客團(tuán)伙可能存在技術(shù)交流甚至協(xié)作；

l 政治矛盾工具化：攻擊者將印巴沖突轉(zhuǎn)化為“攻擊跳板”，利用現(xiàn)實(shí)爭(zhēng)議降低攻擊門檻，揭示了地緣政治熱點(diǎn)正成為網(wǎng)絡(luò)攻擊的“溫床”。

對(duì)此，瑞星安全專家建議廣大用戶：

1. 不打開(kāi)可疑文件。

不打開(kāi)未知來(lái)源的可疑的文件和郵件，防止社會(huì)工程學(xué)和釣魚攻擊。

2. 部署EDR、NDR產(chǎn)品。

利用威脅情報(bào)追溯威脅行為軌跡，進(jìn)行威脅行為分析，定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網(wǎng)絡(luò)威脅，最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點(diǎn)，以便更快響應(yīng)和處理。

3. 安裝有效的殺毒軟件，攔截查殺惡意文檔和惡意程序。

殺毒軟件可攔截惡意文檔和惡意程序，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運(yùn)行，保護(hù)用戶的終端安全。

4. 及時(shí)修補(bǔ)系統(tǒng)補(bǔ)丁和重要軟件的補(bǔ)丁。

許多惡意軟件經(jīng)常使用已知的系統(tǒng)漏洞、軟件漏洞來(lái)進(jìn)行傳播，及時(shí)安裝補(bǔ)丁將有效減少漏洞攻擊帶來(lái)的影響。