網路攻擊也黑心!舊木馬新封裝繞過防毒機制的偵測
有別於傳統的攻擊方式,新型態網路攻擊手法發展日益趨向複雜化與細緻化,並且轉為利益導向的攻擊。為了入侵企業,駭客發動的攻擊透過多種攻擊手法與漏洞的搭配運行來躲避防禦機制偵查。新型態攻擊運用的並非都是新技術,只要將現有的攻擊工具、手法稍加改變,就有可能巧妙繞過偵查機制,突破企業的第一道防線。
最近,中華數位便攔截到以「新瓶裝舊酒」的手法,將舊的木馬重新封裝,成功穿透防毒軟體的案例。
在攔截到的當下研究人員將惡意程式上傳到VirusTotal 做檢測,發現VirusTotal上五十餘種防毒軟體皆無法攔截,因此進一步分析其攻擊手法與惡意程式:
駭客透過遞送一封正式的商務往來信件,詢問商品庫存與報價的資訊,並要求收信人參閱附件資料來提供報價。若收信人未察覺異狀,誤認商機上門而開啟附件 inquiry.doc ,這時 Word 會跳出安全警告主動停用巨集,若收件者依舊大意繼續點擊開啟,在巨集被啟用後便會開啟封裝內容,將惡意程式主體儲存下來並自動執行。除了社交工程手法,這個攻擊也運用了CVE漏洞攻擊,只要在特定環境下點開inquiry.doc 檔便會自動執行巨集安裝後門程式,直接跳過前述 Word主動停用巨集與安全警告的步驟。
幸好,這封郵件被中華數位進階防禦機制攔下。中華數位與 ASRC 研究人員進一步分析這封信中的惡意程式,程式原始名為 Polyphagist.exe ; ProductName為 https://Xaai.beh。透過沙箱執行惡意程式發現,內部藏有兩支可獨立執行的程式(SurveillanceEx Plugin和ClientPlugin.dll),這兩支惡意程式早在2014年便被發現,在VirusTotal上被定義為NanoCore 已知遠程控制木馬,能夠讓攻擊者在遠端監視受害者的一舉一動。駭客將舊的木馬程式重新封裝,讓已知病毒成了未知威脅,成功躲過防毒機制的偵測。
這種想方設法規避防禦機制偵測的攻擊案例層出不窮,想要阻擋這類複雜、多變、不易歸納固定模式的攻擊,光靠單一防禦機制已不足以應付,面對不同的攻擊手法,應採取不同的防禦技術,才能降低被入侵的風險。
SPAM SQR 結合McAfee ATD,聯合防禦複雜多變的新型態攻擊
SPAM SQR於威脅防禦領域不斷的研究精進,整合多種分析引擎、資料庫及強化機制,以多層式的運行過濾方式,對抗惡意威脅郵件的入侵。為提供企業更安全的環境,將防禦過濾機制與McAfee ATD 動態沙箱整合,提供企業動靜兼備的安全防護,抵禦已知與未知的威脅。
靜態特徵結合動態沙箱分析,防護更全面
SPAM SQR 的多層式過濾技術,結合了防毒特徵碼、惡意網址資料庫、行為模擬防禦、深層程式碼靜態特徵掃描及動態沙箱等分析。可先行分類垃圾郵件及可疑威脅郵件,再將特定格式附檔拆離傳送至沙箱進行比對,於虛擬平台進行程式分析。透過深度模擬和沙箱分析,將資訊揭露並回傳至SPAM SQR,結果統一整合於SPAM SQR,風險一目瞭然且更易於追蹤管理。
SPAM SQR ADM 與McAfee ATD聯防特色
- 具有良好的分析速度 – 分類掃瞄節省資源消耗
- 動靜態交叉分析 – 增加入侵的困難
- 單一系統整合報表 – 風險一目瞭然