駭客攻防與惡意程式威脅 回到資安Q&A
Q
越來越多種可疑的郵件附件,該如何幫員工過濾呢?
過去只要教user不要開啟執行檔、要小心Adobe PDF文件,但最近我從這些可疑的郵件來看,它們的附件檔案也都是不一樣的。該怎麼有效過濾呢?
提問者: Thomas 提問時間: 11/12/2012
A
值班醫師回應

       的確,現在要判斷郵件附件是否安全,已不像過去單純容易。根據 FireEye 甫公布的魚叉式網路攻擊常用字詞摘要報告指出,網路攻擊常見的檔案型態正在改變。


        2011 下半年常見的攻擊檔案類型是壓縮檔、執行檔、pif 檔、螢幕保護程式、批次檔;到了 2012 年的上半年基於文件型的攻擊顯著增加,前五名的檔案類型依次為壓縮檔、pdf 檔、執行檔、doc 文件檔以及 pif 檔案。這個現象指出攻擊的手法以及層次正在提升;依照筆者的經驗在 VirusTotal 的相對偵測率而言,文件型態的攻擊也較不容易被防毒軟體偵測到。因此除了執行檔外,使用者也必須多加注意文件類型檔案是否來自可信賴的寄件者以避免遭受攻擊進而被植入後門。       


        一般而言我們建議:


1.      盡量使用最新版本的修補程式將攻擊的風險降至最低;在最佳狀況下企業應該建立共同的標準作業環境統一管理桌面應用程式版本,以便進行中央的升級以及安全維護。在遇到這類 APT 攻擊時,共同標準作業環境可以讓企業快速的評估風險以及可能的影響範圍,進而讓資安應變中心可以快速地進行有效行動。


2.      為避免社交工程攻擊手法,在開啟任何附件前請確認該文件來自可信任的寄件者;在各單位資源許可下宜定期或不定期進行社交工程演練以提升使用者之警覺性。


3.      在公司的電腦上不開啟非公務相關的文件,攻擊者可能運用一些社會事件 (如日本核災、倫敦奧運、美牛事件) 吸引您的注意力進而增加該封攻擊文件的點閱率


4.      根據魚叉式網路攻擊常用字詞摘要研究指出,這類型的攻擊使用我們日常生活中詐騙集團的手法,造成使用者必須馬上開啟該文件之氛圍誘騙使用者點及文件。任何造成您壓力的字詞 (急件、帳號將被取消、信用卡將被鎖卡) 都可能是攻擊者誘騙的手段,請冷靜處理。


        由於 APT 攻擊時常變動、鎖定特定企業員工發起的特性,傳統基於特徵碼的資安防護設備可提供的保護有限。企業應採用無須特徵碼的 APT 攻擊檢測系統,跳脫傳統防護措施生命週期 (收集樣本 > 分析樣本 > 病毒特徵碼防護) 的思維以真正防制時常進行變動、針對性高的 APT 攻擊。


 

資安急診室醫師介紹
資安顧問
資料外洩防治、新興攻擊研究、雲端安全、資安事件應變
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字