圖片來源: 

力悅資訊

電子郵件可說是人人都有,也是駭客攻擊企業最主要的管道。今年(2017)在臺北世貿國際會議中心舉行的資安大會中,有廠商特別強調防護未知惡意軟體與零時差攻擊,應該從釣魚郵件中的附件檔案著手。代理郵件附檔清理產品Votiro的力悅資訊總經理彭國達認為,駭客會在釣魚郵件中,夾帶含有未知惡意軟體的附件檔案,躲過企業架設的層層防護措施,而這些措施仍然以檔案特徵的比對為主,企業難以找出這種有問題的電子郵件。

彭國達引用SANS的調查資料,在2013年時,就有95%的攻擊採用釣魚郵件,而依據Symantec近幾年來的網路安全威脅報告中,在2012到2015年間,這種手法快速成長了超過3倍之多。然而,企業若是想要透過端點防毒軟體攔截郵件裡夾帶的惡意檔案,Symantec前資安部門副主管Brian Dye在2014年時指出,當時防毒軟體大概只有不到一半的比例能成功。

沙箱過濾有問題的附件檔案效率不彰

彭國達形容,在這些惡意附件中常見的零時差攻擊方式,就像埋在地底下的地雷,難以追查與清除,然而一旦觸發,後果將難以收拾。但這並不代表企業對於電子郵件的防護尚未重視,事實上,許多企業可能建置了郵件閘道,甚至對於疑似有問題的惡意檔案,還能透過沙箱再次檢查。不過,由於在這些防護機制中,主要是透過檔案特徵的機制,識別有問題的檔案,彭國達認為,這些針對性攻擊的電子郵件,既不會被當做垃圾信,信件中的惡意檔案可能也沒有在黑名單中,有問題的郵件仍然會到使用者手上。再加上,駭客很可能將惡意軟體拆開寄送,或是信件中夾帶擁有下載惡意軟體功能的附件。

更何況,沙箱檢查相當耗時,彭國達認為,企業每人每天都要處理許多電子郵件,若是一個附件檔案就需要幾分鐘到數個小時,並不能跟上企業運作的步調。

雖然,近年來資安的意識提升,公司或許會教育員工避免點選有問題的電子郵件,然而若是具有針對性的攻擊信件,例如寄送履歷表到人資部門,傳送訂單到業務單位,這種依據業務職責寄送,員工必須點開的郵件,若是透過員工自行識別,難度越來越高。

從解析常見的附件檔案格式,清除有問題的惡意程式碼,強化現有防護機制的不足

值得留意的是,無論是郵件閘道還是沙箱,都是針對已知威脅形態阻擋,也有許多惡意軟體截有偵測沙箱環境的能力,而不會在沙箱中執行。因此,若是從檔案架構中拆解,找出不屬於這種檔案類型該有的內容,彭國達認為才能改善現有的情況。

此外,若是採用檔案拆解的角度,不只能去除有問題的惡意程式碼,還可將檔案復原,維持其能夠正常開啟及使用。彭國達舉Votiro運作模式為例,系統首先會先確認附件的真實檔案類型,再分析其中組成的架構,然後刪除與這種檔案型態架構無關的內容後重組,國際研究暨顧問機構Gartner將這種機制稱為檔案的內容清理與重建(Content Disarm and Reconstruction,CDR)。

但從郵件的中間人攻擊的角度,CDR機制主要還是針對附件的惡意軟體,若是遇到防範駭客竄改信件內文,還是要與現有的電子郵件防護措施,以及使用者的資安意識結合(例如,透過電話再次確認)才行。

附帶一提,CDR技術不只能夠用在郵件附件檔案分析,做為電子郵件安全閘道,也可運用在公司其他地方的惡意軟體檢測,像是內部端點電腦的外接USB隨身碟檔案過濾,或是在網站與FTP伺服器中,這些伺服器主機會接收到使用者上傳的文件,同樣需要避免收到夾帶惡意軟體的檔案。


Advertisement

更多 iThome相關內容