热点安全

Hot Security

新“瓶”装“陈酿”是如何绕过防毒侦测机制的?

最近,Softnext守内安便拦截到以「新瓶装旧酒」的手法,

将旧的木马重新封装,成功穿透防病毒软件的案例。


有别于传统的攻击方式,新型态网络攻击手法发展日益趋向复杂化与细致化,并且转为利益导向的攻击。为了入侵企业,黑客发动的攻击通过多种攻击手法与漏洞的搭配运行来躲避防御机制侦查。新型态攻击运用的并非都是新技术,只要将现有的攻击工具、手法稍加改变,就有可能巧妙绕过侦查机制,突破企业的第一道防线。

最近,Softnext守内安便拦截到以「新瓶装旧酒」的手法,将旧的木马重新封装,成功穿透防病毒软件的案例。

在拦截到的当下研究人员将恶意软件上传到VirusTotal 做检测,发现VirusTotal上五十余种防病毒软件皆无法拦截,因此进一步分析其攻击手法与恶意软件:

黑客通过递送一封正式的商务往来信件,询问商品库存与报价的信息,并要求收信人参阅附件数据来提供报价。若收信人未察觉异状,误认商机上门而开启附件 inquiry.doc ,这时 Word 会跳出安全警告主动停用宏,若收件者依旧大意继续点击开启,在宏被启用后便会开启封装内容,将恶意软件主体储存下来并自动执行。除了社交工程手法,这个攻击也运用了CVE漏洞攻击,只要在特定环境下点开inquiry.doc 文件便会自动执行宏安装后门程序,直接跳过前述 Word主动停用宏与安全警告的步骤。

幸好,这封邮件被Softnext守内安进阶防御机制拦下。Softnext守内安与 ASRC 研究人员进一步分析这封信中的恶意软件,程序原始名为 Polyphagist.exe。通过沙盒执行恶意软件发现,内部藏有两支可独立执行的程序(SurveillanceEx Plugin和ClientPlugin.dll),这两支恶意软件早在2014年便被发现,在VirusTotal上被定义为NanoCore 已知远程控制木马,能够让攻击者在远程监视受害者的一举一动。黑客将旧的木马程序重新封装,让已知病毒成了未知威胁,成功躲过防毒机制的侦测。

这种想方设法规避防御机制侦测的攻击案例层出不穷,想要阻挡这类复杂、多变、不易归纳固定模式的攻击,光靠单一防御机制已不足以应付,面对不同的攻击手法,应采取不同的防御技术,才能降低被入侵的风险。

HMDS 结合McAfee ATD,联合防御复杂多变的新型态攻击

HMDS于威胁防御领域不断的研究精进,整合多种分析引擎、数据库及强化机制,以多层式的运行过滤方式,对抗恶意威胁邮件的入侵。为提供企业更安全的环境,将防御过滤机制与McAfee ATD 动态沙盒整合,提供企业动静兼备的安全防护,抵御已知与未知的威胁。
 

静态特征结合动态沙盒分析,防护更全面

HMDS 的多层式过滤技术,结合了防毒特征码、恶意网址数据库、行为仿真防御、深层程序代码静态特征扫描及动态沙盒等分析。可先行分类垃圾邮件及可疑威胁邮件,再将特定格式附档拆离传送至沙盒进行比对,于虚拟平台进行程序分析。通过深度仿真和沙盒分析,将信息揭露并回传至HMDS,结果统一整合于HMDS,风险一目了然且更易于追踪管理。

HMDS ADM 与McAfee ATD联防特色

  • .具有良好的分析速度 - 分类扫瞄节省资源消耗
  • .动静态交叉分析 - 增加入侵的困难
  • .单一系统整合报表 - 风险一目了然

 

登入

登入成功