当前位置: > >面对邮件夹带的未知恶意软体不能再靠沙箱,必须拆解档案架构清洗

面对邮件夹带的未知恶意软体不能再靠沙箱,必须拆解档案架构清洗

03-18,IT资讯面对邮件夹带的未知恶意软体不能再靠沙箱,必须拆解档案架构清洗最新消息报导,口袋科技网(http://www.kotoo.com)IT资讯
图片来源: 

力悦资讯

电子邮件可说是人人都有,也是骇客攻击企业最主要的管道。今年(2017)在台北世贸国际会议中心举行的资安大会中,力悦资讯总经理彭国达表示,骇客会在钓鱼邮件中,夹带含有未知恶意软体的附件档案,躲过企业架设的层层防护措施,而这些措施仍然以档案特徵的比对为主,企业难以找出这种有问题的电子邮件。

彭国达引用SANS的调查资料,在2013年时,就有95%的攻击採用钓鱼邮件,而依据Symantec近几年来的网路安全威胁报告中,在2012到2015年间,这种手法快速成长了超过3倍之多。然而,企业若是想要透过端点防毒软体拦截邮件里夹带的恶意档案,Symantec前资安部门副主管Brian Dye在2014年时指出,当时防毒软体大概只有不到一半的比例能成功。

沙箱过滤有问题的附件档案效率不彰

但这并不代表企业对于电子邮件的防护尚未重视,事实上,许多企业可能建置了邮件闸道,甚至对于疑似有问题的恶意档案,还能透过沙箱再次检查。不过,由于在这些防护机制中,仍然透过档案特徵的机制,识别有问题的档案,彭国达认为,这些针对性攻击的电子邮件,既不会被当做垃圾信,信件中的恶意档案可能也没有在黑名单中,有问题的邮件仍然会到使用者手上。再加上,骇客很可能将恶意软体拆开寄送,或是信件中夹带拥有下载恶意软体功能的附件。

更何况沙箱检查相当耗时,彭国达认为,企业每人每天都要处理许多电子邮件,若是一个附件档案就需要几分钟到数个小时,并不能跟上企业运作的步调。

虽然,近年来资安的意识提升,公司或许会教育员工避免点选有问题的电子邮件,然而若是具有针对性的攻击信件,例如寄送履历表到人资部门,传送订单到业务单位,透过员工自行识别含有恶意攻击的电子邮件,难度越来越高。

彭国达形容,在这些恶意附件中常见的零时差攻击方式,就像埋在地底下的地雷,难以追查与清除,然而一旦触发,后果将难以收拾。

从解析常见的附件档案格式,清除有问题的恶意程式码,强化现有防护机制的不足

另一方面,即使是一般电子邮件里的附件档案,也很有可能在传送的过程中,遭到有心人士从中窜改,加入恶意程式码内容,若是直接拦截档案,原本的资料也会付之一炬。因此,彭国达认为,透过像Votiro解决方案将档案拆解,去除有问题的恶意程式码,并将档案复原,维持其能够正常开启及使用,才是真正的解决方法。由于Votiro会先确认附件的真实档案类型,并分析其中组成的架构,然后删除与这种档案型态架构无关的内容,国际研究暨顾问机构Gartner将这种机制称为档案的内容清理与重建(Content Disarm and Reconstruction,CDR)。

从Votiro产品的功能来看,它支援拆解邮件附档中最常见的Office文件、PDF文件、RTF文件、影像档案,以及ZIP、RAR、LZH等压缩档案格式,而非所有格式的附件档案都能分析,因此对于像是伪冒成文件档案的EXE格式可执行档,这款产品会当作来路不明的档案,予以封锁。

但从邮件的中间人攻击的角度,这样的机制主要还是针对附件的恶意软体,若是遇到防範骇客窜改信件内文,还是要与现有的电子邮件防护措施,以及使用者的资安意识结合(例如,透过电话再次确认)才行。

附带一提,CDR技术不只能够用在邮件附件档案分析,做为电子邮件安全闸道,以Votiro而言,也可运用在公司内部端点电脑的外接USB随身碟档案过滤,以及网站与FTP伺服器中,这些伺服器主机会接收到使用者上传的文件,同样需要避免收到夹带恶意软体的档案。

声明:

·凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。如系原创文章,转载请注明出处。

·您若对该稿件内容有任何疑问或质疑,请即联系,本网将迅速给您回应并做处理。

邮箱:mail@kotoo.com

+1 已赞
已有8人赞过
评论13

发表评论请 登录
  • 最新
  • 最热
评论举报

请选择举报理由

17 13

已收藏
去我的收藏夹 >

已取消收藏
去我的收藏夹 >