駭客攻防與惡意程式威脅 回到資安Q&A
Q
持續收到內有不同URL連結的可疑郵件,請問這就是APT攻擊嗎?
前一陣子,公司陸續收到可疑的電子郵件,但裡面附的URL連結卻都不一樣。請問這是APT攻擊信件嗎?變動的URL有沒有阻擋的方式?
提問者: QK 提問時間: 01/25/2013
A
值班醫師回應

此類社交工程郵件通稱為 “魚叉式攻擊”,FireEye 針對這類攻擊方式研究並彙整了一篇中文白皮書 “魚叉式網路釣魚攻擊—成功原因及阻止方式” (下載網址: http://www.fireeye.com/zh-tw/resources/pdfs/white-papers/fireeye-how-stop-spear-phishing.pdf ) 。


這類攻擊通常包含有夾檔 (執行檔、文件檔) 或是夾雜含有瀏覽即下載 (drive-by download) 的 URL 誘使使用者點擊。一旦使用者點擊附件或是 URL 就會觸發攻擊,進而下載完整的後門程式接受駭客的遙控。


此類的 URL 攻擊使用一次性拋棄網域的比例升高,或者夾雜短網址的方式讓使用者無法辨識原始網域,因此特別難預防。


市面上的垃圾郵件、病毒郵件過濾閘道因為不具 URL 資料庫,因此不具有防堵功能。即便是內建 URL 資料庫的閘道器,也無法應付變動的網址。


此外,採用靜態分析的 APT 過濾閘道也因為無法動態分析網址內容,對於這種攻擊方式也束手無策;針對這種不斷變動的動態攻擊,使用沙箱分析是比較妥當的做法。


目前網路上有些廠商提供動態網址分析服務例如 anubis (anubis.iseclab.org) 上除了可以透過網頁上傳可疑的執行檔進行分析外,也可輸入網址,anubis 網站內建的沙箱技術可以模擬 IE 瀏覽器開啟該網址後觸發的程式行為,可以分析該網站是否夾雜惡意程式。VirusTotal (https://www.virustotal.com/#url) 也提供使用者輸入 URL 進行防毒軟體掃描以判別該網址是否包含已知的病毒。


資安急診室醫師介紹
資安顧問
資料外洩防治、新興攻擊研究、雲端安全、資安事件應變
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字
訂閱資安週報