ASRC 研究團隊與中華數位偵測到利用 WinRAR 重大安全漏洞發動的 APT 攻擊!

自 Check Point 的安全研究團隊通知RARLab存在越界寫入(out of bounds write)漏洞時,ASRC團隊即開始留意此漏洞被用於郵件攻擊的狀況。這個漏洞約莫於2019年2月20日被披露,大約兩天內,ASRC與中華數位團隊就偵測到了利用此漏洞的APT攻擊。

該漏洞肇因於 WinRAR 引用第三方函式庫 UNACEV2.DLL 用於支援 ACE 這種壓縮格式。 UNACEV2.DLL 存在一個在解壓縮時可寫入及執行任意檔案的漏洞,且這個函式庫自 2005 年以來便沒有更新,造成了十多年來 WinRAR 的各種版本皆受此漏洞的影響。由於 WinRAR 的開發團隊不握有的原始碼,因此在近期WinRAR 5.7版,以取消對 ACE 壓縮格式的支援的方式解決這個漏洞。若您或您所在的企業組織有使用WinRAR作為壓縮、解壓縮工具,請務必更新至WinRAR 5.7版以上。(WinRAR官方下載連結:https://www.rarlab.com/download.htm)

該漏洞雖發生於解壓縮 ACE 格式的壓縮檔才會觸發,但由於許多個人或企業單位不使用或沒聽過ACE這種壓縮格式,因而輕忽此漏洞的危險性。實際的攻擊,只要能呼叫出 UNACEV2.DLL ,並不一定需要副檔名看來是 .ace 的壓縮檔。

ASRC 研究團隊最新觀測到的攻擊來自遭到入侵的非公務信箱,針對特定高科技企業與政府單位寄送含有漏洞利用的惡意檔案進行攻擊,其副檔名為 .rar。當收件人試圖使用WinRAR解壓縮檔案查看其中內容時,便會遭到夾帶於惡意檔案中的惡意程式攻擊,並在每次開機都會執行特定的惡意程式。這個惡意程式蒐集加密受攻擊者的電腦機敏資訊加密後,利用Dropbox免費空間進行惡意工具的下載與機敏資料的上傳。

中華數位科技 SPAM SQR 搭配 ADM 模組,在事件遭到披露時,即可對此類攻擊進行偵測與防護,但仍請留意此波攻擊。

SPAM SQR 與ADM 進階防禦機制
中華數位 SPAM SQR內建多種引擎(惡意檔案分析引擎、威脅感知引擎、智能詐騙引擎)、惡意網址資料庫,並可整合防毒與動態沙箱等機制,以多層式的運行過濾方式,對抗惡意威脅郵件的入侵。
SPAM SQR 的 ADM ( Advanced Defense Module ) 進階防禦機制,可防禦魚叉式攻擊、APT 等新型進階攻擊手法郵件。研究團隊經長時間的追蹤駭客攻擊行為,模擬產出靜態特徵。程式自動解封裝檔案進行掃描,可發掘潛在代碼、隱藏的邏輯路徑及反組譯程式碼,以利進行進階惡意程式分析比對。可提高攔截夾帶零時差 (Zero-day) 惡意程式、APT 攻擊工具及含有文件漏洞的攻擊附件等攻擊手法郵件的能力。

關於 ASRC 垃圾訊息研究中心

ASRC 垃圾訊息研究中心 (Asia Spam-message Research Center),長期與中華數位科技合作,致力於全球垃圾郵件、惡意郵件、網路攻擊事件等相關研究事宜,並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式,促成產官學界共同致力於淨化網際網路之電子郵件使用環境。更多資訊請參考 www.asrc-global.com


Advertisement

更多 iThome相關內容