新瓶裝「陳釀」是如何繞過防毒偵測機制的?
有別於傳統的攻擊方式,新型態網路攻擊手法發展日益趨向複雜化與細緻化,並且轉為利益導向的攻擊。為了入侵企業,黑客發動的攻擊通過多種攻擊手法與漏洞的搭配運行來躲避防禦機制偵查。新型態攻擊運用的並非都是新技術,只要將現有的攻擊工具、手法稍加改變,就有可能巧妙繞過偵查機制,突破企業的第一道防線。
最近,Softnext守內安便攔截到以「新瓶裝舊酒」的手法,將舊的木馬重新封裝,成功穿透防病毒軟體的案例。
在攔截到的當下研究人員將惡意軟體上傳到VirusTotal 做檢測,發現VirusTotal上五十餘種防病毒軟體皆無法攔截,因此進一步分析其攻擊手法與惡意軟體:
黑客通過遞送一封正式的商務往來郵件,詢問商品庫存與報價的信息,並要求收件人參閱附件數據來提供報價。若收件人未察覺異狀,誤認商機上門而開啟附件 inquiry.doc ,這時 Word 會跳出安全警告主動停用宏,若收件者依舊大意繼續點擊開啟,在宏被啟用後便會開啟封裝內容,將惡意軟體主體儲存下來並自動執行。除了社交工程手法,這個攻擊也運用了CVE漏洞攻擊,只要在特定環境下點開inquiry.doc 文件便會自動執行宏安裝後門程序,直接跳過前述 Word主動停用宏與安全警告的步驟。
幸好,這封郵件被Softnext守內安高級防禦機制攔下。Softnext守內安與 ASRC 研究人員進一步分析這封信中的惡意軟體,程序原始名為 Polyphagist.exe ;通過沙盒執行惡意軟體發現,內部藏有兩支可獨立執行的程序(SurveillanceEx Plugin和ClientPlugin.dll),這兩支惡意軟體早在2014年便被發現,在VirusTotal上被定義為NanoCore 已知遠程控制木馬,能夠讓攻擊者在遠程監視受害者的一舉一動。黑客將舊的木馬程序重新封裝,讓已知病毒成了未知威脅,成功躲過防毒機制的偵測。
這種想方設法規避防禦機制偵測的攻擊案例層出不窮,想要阻擋這類複雜、多變、不易歸納固定模式的攻擊,光靠單一防禦機制已不足以應付,面對不同的攻擊手法,應採取不同的防禦技術,才能降低被入侵的風險。
HMDS 結合McAfee ATD,聯合防禦複雜多變的新型態攻擊
HMDS於威脅防禦領域不斷的研究精進,整合多種分析引擎、資料庫及強化機制,以多層式的運行過濾方式,對抗惡意威脅郵件的入侵。為提供企業更安全的環境,將防禦過濾機制與McAfee ATD 動態沙盒整合,提供企業動靜兼備的安全防護,抵禦已知與未知的威脅。
靜態特徵結合動態沙盒分析,防護更全面
HMDS 的多層式過濾技術,結合了防毒特徵碼、惡意網址資料庫、行為模擬防禦、深層程序代碼靜態特徵掃描及動態沙盒等分析。可先行分類垃圾郵件及可疑威脅郵件,再將特定格式附檔拆離傳送至沙盒進行比對,於虛擬平台進行程序分析。通過深度模擬和沙盒分析,將信息揭露並回傳至HMDS,結果統一整合於HMDS,風險一目了然且更易於追蹤管理。
HMDS ADM 與McAfee ATD聯防特色
.具有良好的分析速度 - 分類掃瞄節省資源消耗
.動靜態交叉分析 - 增加入侵的困難
.單一系統整合報表 - 風險一目了然
TAG:Softnext守內安 |