最近,中華數位便攔截到以「新瓶裝舊酒」的手法,將舊的木馬重新封裝,成功穿透防毒軟體的案例。在攔截到的當下研究人員將惡意程式上傳到 VirusTotal 做檢測,發現 VirusTotal 上五十餘種防毒軟體皆無法攔截,因此進一步做了分析。 【攻擊手法與惡意程式分析】 駭客透過遞送一封正式的商務往來信件,詢問商品庫存與報價的資訊,並要求收信人參閱附件資料來提供報價。若收信人未察覺異狀,誤認商機上門而開啟附件 inquiry.doc ,這時 Word 會跳出安全警告主動停用巨集,若收件者依舊大意繼續點擊開啟,在巨集被啟用後便會開啟封裝內容,將惡意程式主體儲存下來並自動執行。除了社交工程手法,這個攻擊也運用了CVE漏洞攻擊,只要在特定環境下點開inquiry.doc 檔便會自動執行巨集安裝後門程式,直接跳過前述 Word主動停用巨集與安全警告的步驟。幸好,這封郵件被中華數位進階防禦機制攔下。 中華數位與 ASRC 研究人員進一步分析這封信中的惡意程式,程式原始名為 Polyphagist.exe。透過沙箱執行惡意程式發現,內部藏有兩支可獨立執行的程式(SurveillanceEx Plugin和ClientPlugin.dll),這兩支惡意程式早在2014年便被發現,在VirusTotal上被定義為NanoCore 已知遠程控制木馬,能夠讓攻擊者在遠端監視受害者的一舉一動。駭客將舊的木馬程式重新封裝,讓已知病毒成了未知威脅,成功躲過防毒機制的偵測。 這種想方設法規避防禦機制偵測的攻擊案例層出不窮,想要阻擋這類複雜、多變、不易歸納固定模式的攻擊,光靠單一防禦機制已不足以應付,面對不同的攻擊手法,應採取不同的防禦技術,才能降低被入侵的風險。
【SPAM SQR 結合McAfee ATD,聯合防禦複雜多變的新型態攻擊】 SPAM SQR於威脅防禦領域不斷的研究精進,整合多種分析引擎、資料庫及強化機制,以多層式的運行過濾方式,對抗惡意威脅郵件的入侵。為提供企業更安全的環境,將防禦過濾機制與McAfee ATD 動態沙箱整合,提供企業動靜兼備的安全防護,抵禦已知與未知的威脅。 【靜態特徵結合動態沙箱分析,防護更全面】 SPAM SQR 的多層式過濾技術,結合了防毒特徵碼、惡意網址資料庫、行為模擬防禦、深層程式碼靜態特徵掃描及動態沙箱等分析。可先行分類垃圾郵件及可疑威脅郵件,再將特定格式附檔拆離傳送至沙箱進行比對,於虛擬平台進行程式分析。透過深度模擬和沙箱分析,將資訊揭露並回傳至SPAM SQR,結果統一整合於SPAM SQR,風險一目瞭然且更易於追蹤管理。 【SPAM SQR ADM 與McAfee ATD聯防特色】 .具有良好的分析速度 - 分類掃瞄節省資源消耗 .動靜態交叉分析 - 增加入侵的困難 .單一系統整合報表 - 風險一目瞭然
- 新聞稿有效日期,至2017/11/12為止
聯絡人 :Softnext 聯絡電話:886-2-25422526 電子郵件:service@softnext.com.tw
上一篇:紅帽與阿里雲攜手 運用開放原始碼技術帶來更高靈活性
下一篇:Hitachi Vantara推出全新商用Lumada軟體堆疊
|
■ 我在中國工作的日子(十四)阿里巴巴敢給股票 - 2023/07/02 ■ 我在中國工作的日子(十三)上億會員怎麼管理 - 2023/06/25 ■ 我在中國工作的日子(十二)最好的公司支付寶 - 2023/06/18 ■ 我在中國工作的日子(十一)兩個女人一個男人 - 2023/06/11 ■ 我在中國工作的日子(十)千團大戰影音帶貨 - 2023/06/04 ■ 我在中國工作的日子(九)電視購物轉型電商 - 2023/05/28 ■ 我在中國工作的日子(八)那些從台灣來的人 - 2023/05/21 ■ 我在中國工作的日子(七)嘉丰資本擦身而過 - 2023/05/14 ■ 我在中國工作的日子(六)跟阿福有關的人們 - 2023/05/07
|