當前位置: > >面對郵件夾帶的未知惡意軟體不能再靠沙箱,必須拆解檔案架構清洗

面對郵件夾帶的未知惡意軟體不能再靠沙箱,必須拆解檔案架構清洗

03-18,IT資訊面對郵件夾帶的未知惡意軟體不能再靠沙箱,必須拆解檔案架構清洗最新消息報導,口袋科技網(http://www.fbajfi.live)IT資訊
圖片來源: 

力悅資訊

電子郵件可說是人人都有,也是駭客攻擊企業最主要的管道。今年(2017)在臺北世貿國際會議中心舉行的資安大會中,力悅資訊總經理彭國達表示,駭客會在釣魚郵件中,夾帶含有未知惡意軟體的附件檔案,躲過企業架設的層層防護措施,而這些措施仍然以檔案特徵的比對為主,企業難以找出這種有問題的電子郵件。

彭國達引用SANS的調查資料,在2013年時,就有95%的攻擊採用釣魚郵件,而依據Symantec近幾年來的網路安全威脅報告中,在2012到2015年間,這種手法快速成長了超過3倍之多。然而,企業若是想要透過端點防毒軟體攔截郵件里夾帶的惡意檔案,Symantec前資安部門副主管Brian Dye在2014年時指出,當時防毒軟體大概只有不到一半的比例能成功。

沙箱過濾有問題的附件檔案效率不彰

但這并不代表企業對于電子郵件的防護尚未重視,事實上,許多企業可能建置了郵件閘道,甚至對于疑似有問題的惡意檔案,還能透過沙箱再次檢查。不過,由于在這些防護機制中,仍然透過檔案特徵的機制,識別有問題的檔案,彭國達認為,這些針對性攻擊的電子郵件,既不會被當做垃圾信,信件中的惡意檔案可能也沒有在黑名單中,有問題的郵件仍然會到使用者手上。再加上,駭客很可能將惡意軟體拆開寄送,或是信件中夾帶擁有下載惡意軟體功能的附件。

更何況沙箱檢查相當耗時,彭國達認為,企業每人每天都要處理許多電子郵件,若是一個附件檔案就需要幾分鐘到數個小時,并不能跟上企業運作的步調。

雖然,近年來資安的意識提升,公司或許會教育員工避免點選有問題的電子郵件,然而若是具有針對性的攻擊信件,例如寄送履歷表到人資部門,傳送訂單到業務單位,透過員工自行識別含有惡意攻擊的電子郵件,難度越來越高。

彭國達形容,在這些惡意附件中常見的零時差攻擊方式,就像埋在地底下的地雷,難以追查與清除,然而一旦觸發,后果將難以收拾。

從解析常見的附件檔案格式,清除有問題的惡意程式碼,強化現有防護機制的不足

另一方面,即使是一般電子郵件里的附件檔案,也很有可能在傳送的過程中,遭到有心人士從中竄改,加入惡意程式碼內容,若是直接攔截檔案,原本的資料也會付之一炬。因此,彭國達認為,透過像Votiro解決方案將檔案拆解,去除有問題的惡意程式碼,并將檔案復原,維持其能夠正常開啟及使用,才是真正的解決方法。由于Votiro會先確認附件的真實檔案類型,并分析其中組成的架構,然后刪除與這種檔案型態架構無關的內容,國際研究暨顧問機構Gartner將這種機制稱為檔案的內容清理與重建(Content Disarm and Reconstruction,CDR)。

從Votiro產品的功能來看,它支援拆解郵件附檔中最常見的Office文件、PDF文件、RTF文件、影像檔案,以及ZIP、RAR、LZH等壓縮檔案格式,而非所有格式的附件檔案都能分析,因此對于像是偽冒成文件檔案的EXE格式可執行檔,這款產品會當作來路不明的檔案,予以封鎖。

但從郵件的中間人攻擊的角度,這樣的機制主要還是針對附件的惡意軟體,若是遇到防範駭客竄改信件內文,還是要與現有的電子郵件防護措施,以及使用者的資安意識結合(例如,透過電話再次確認)才行。

附帶一提,CDR技術不只能夠用在郵件附件檔案分析,做為電子郵件安全閘道,以Votiro而言,也可運用在公司內部端點電腦的外接USB隨身碟檔案過濾,以及網站與FTP伺服器中,這些伺服器主機會接收到使用者上傳的文件,同樣需要避免收到夾帶惡意軟體的檔案。

聲明:

·凡注明為其他媒體來源的信息,均為轉載自其他媒體,轉載并不代表本網贊同其觀點,也不代表本網對其真實性負責。如系原創文章,轉載請注明出處。

·您若對該稿件內容有任何疑問或質疑,請即聯系,本網將迅速給您回應并做處理。

郵箱:[email protected]

+1 已贊
已有8人贊過
評論13

發表評論請 登錄
  • 最新
  • 最熱
評論舉報

請選擇舉報理由

17 13

已收藏
去我的收藏夾 >

已取消收藏
去我的收藏夾 >

7星彩玩法