近期ASRC蜜罐收到一系列主旨為“Unpaid invoice[ID:隨機數字]” 的信件,其中都夾帶了副檔名為 IQY 的檔案。ASRC 進一步分析發現,惡意信件所夾帶的IQY附檔本體不含惡意行為,因此可輕鬆規避防毒軟體的檢查。不過危險性相當高,若不慎執行,則電腦可能會被植入 Flawed Ammy RAT 後門。目前中華數位SPAM SQR已可防禦這類攻擊。

IQY為Microsoft Excel所使用的Web查詢設定檔,Excel讀取該檔後會連向指定的網址取得資料。由於IQY為純文字格式,預設的檔案開啟程式又是Excel,攻擊者便利用這個特性,將惡意的網址寫入IQY檔,欺騙使用者開啟檔案後連外取得惡意程式回來執行。更有甚者,IQY的純文字內容並不含有惡意行為,因此也能有效規避防毒軟體的檢查。

若是Excel有較安全的連線設定則可以不必太擔心。若使用者不慎執行了IQY檔,Excel也會出現提示,向使用者確認是否真的要執行程式,此時應立即停用拒絕執行!

目前中華數位SPAM SQR已可防禦這類攻擊。提醒已使用 SPAM SQR 的用戶保持系統與特徵定期更新,以達到最佳防禦效果。如有任何問題請洽中華數位科技客服中心 (02)2543-2000

關於SPAM SQR 與ADM 進階防禦機制

SPAM SQR內建多種引擎(惡意檔案分析引擎、威脅感知引擎、智能詐騙引擎)、惡意網址資料庫,並可整合防毒與動態沙箱等機制,以多層式的運行過濾方式,對抗惡意威脅郵件的入侵。

SPAM SQR ADM ( Advanced Defense Module ) 進階防禦機制,可防禦魚叉式攻擊、APT 等新型進階攻擊手法郵件。研究團隊經長時間的追蹤駭客攻擊行為,模擬產出靜態特徵。程式自動解封裝檔案進行掃描,可發掘潛在代碼、隱藏的邏輯路徑及反組譯程式碼,以利進行進階惡意程式分析比對。可提高攔截夾帶零時差 (Zero-day) 惡意程式、APT 攻擊工具及含有文件漏洞的攻擊附件等攻擊手法郵件的能力。

關於ASRC垃圾訊息研究中心:

ASRC垃圾訊息研究中心(Asia Spam-message Research Center),長期與中華數位科技合作,致力於全球垃圾郵件發展特徵之研究事宜,並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式,促成產官學界共同致力於淨化網際網路之電子郵件使用環境。更多資訊請參考 www.asrc-global.com


Advertisement

更多 iThome相關內容