2013年4月14日 星期日

9成惡意郵件用ZIP夾帶附件


9成惡意郵件用ZIP夾帶附件

根據FireEye日前公布一份2012年下半年進階網路威脅報告,駭客最喜歡以ZIP壓縮檔夾帶惡意程式 

資安廠商FireEye日前公布2012年下半年進階網路威脅報告,該公司動態威脅情報雲(DTI)分析了8,900萬個惡意程式樣本,有超過9成惡意郵件夾帶的附檔類型是ZIP檔案,夾帶執行檔附檔的惡意郵件只有不到1%。

臺灣FireEye技術經理林秉忠表示,調查顯示魚叉式網路釣魚郵件仍是APT攻擊最常使用的方式,透過使用例如UPS、Fedex、Amazon、Tracking、Invoice或是Report等日常生活中常見的商業用語做為檔案名稱,或利用企業掃描文件檔案,會出現Scan、HP、Xerox等字眼,來降低使用者的警戒心,達成駭客企圖利用惡意郵件以植入惡意程式的目的。

但是,根據FireEye統計,這些惡意郵件所夾帶的附件類型,有92%是ZIP檔案,4%是PDF檔案,夾帶執行檔(.exe)的惡意郵件只有1%,其他檔案類型則為3%。林秉忠指出,由於目前企業或組織在設定電子郵件過濾的條件時,並不會刻意攔阻ZIP檔案進出企業內部,加上,ZIP檔案也可以隱藏惡意程式來躲避企業內各種資安工具的掃描。目前,ZIP附檔的風險最高。

林秉忠認為,從資安防禦的角度來看,阻擋ZIP附檔是降低惡意郵件散布惡意程式的方式之一,因為多數企業都會刻意攔阻郵件夾帶執行檔作為附檔,也有越來越多駭客則使用.DLL檔案取代執行檔,作為惡意郵件散布或感染惡意程式的檔案類型。他建議,企業可以取得惡意軟體特徵辨識和有惡意連結的網站清單,用來偵測透過網頁和電子郵件夾檔的攻擊;也可以接收完整的惡意軟體間諜情報,用來偵測並阻擋惡意軟體回報。

從現實的駭客攻擊手法來看,林秉忠說,透過網頁、電子郵件、電子郵件夾帶惡意連結進行混合式攻擊,或者是利用應用程式或是作業系統漏洞進行攻擊,都可以讓攻擊手法更為複雜也更難阻擋,若惡意程式順利植入企業端的電腦後,可以透過回叫(Callback)、滲透竊取,或是移動到企業內其他更有價值的部門,占領並竊取更有價值的主機和資料。

此外,根據該份報告,企業平均每3分鐘就會遭受到惡意程式相關的攻擊,包括接收到夾帶惡意程式的電子郵件、使用者點擊受惡意程式感染的網站連結。若以產業別來看,高科技製造業是受惡意程式感染比例最高的產業,其次為物流業和製造業。

轉載自《iThome》