觀點

進階多變的電子郵件攻擊,如何利用零信任機制有效防禦

2022 / 08 / 19
投稿文/OPSWAT
進階多變的電子郵件攻擊,如何利用零信任機制有效防禦
Cisco Talos 先前觀察到一組針對拉丁美洲國家的新型態的電子郵件攻擊活動,攻擊者利用開放文件格式(Open Document Format,簡稱ODF)的惡意軟體進行攻擊,這些活動使用大量感染組件來傳播兩種廣受歡迎的套裝惡意軟體和遠端訪問木馬工具 (RAT):njRAT 和 AsyncRAT。

其攻擊行為針對拉丁美洲的旅遊及旅館組織。也發現到基於 .NET 的感染鏈產生器/二進制文件加密器,用於生成近期活動中使用的惡意感染組件,包括針對拉丁美洲的攻擊。此類產生器表明作者打算捆綁惡意軟體進行攻擊,以便運營商、客戶和附屬機構輕鬆部署和利用。
 
這些活動包括啟用巨集的 Office 文件,這些文件充當感染的切入點。接下來是 PowerShell 和 VB 腳本的模組鏈,所有這些都致力於禁用AMSI等防病毒保護功能並最終交付 RAT 有效負載。
 
此外HP Wolf Security也在後續偵測到相關的行為,攻擊者利用OpenDocument的格式偽裝與旅館聯繫的相關文件,誘使攻擊目標的人員點選相關附件並進行附載的交付,進而利用PowerShell和VB Script來進行相關攻擊。
 
如HP Wolf Security於文章中描述到的攻擊傳播鏈。惡意文件利用電子郵件附件發送。如果用戶打開文件,他們會看到一個提示,詢問是否應該更新引用其他文件的字段。如果他們對此訊息單擊 “是”,則會打開一個 Excel 文件。
 

 
之後,向用戶顯示另一個提示,詢問是否應該啟用或禁用巨集。如果用戶允許使用巨集,則會觸發傳播鏈,最終導致惡意軟體有效負載AsyncRAT的執行。
  
文中提到:看到 OpenDocument 文件被用來分發惡意軟體很有趣,因為我們很少在野外看到使用這種文件格式的惡意軟體。引人注目的是,防病毒掃描程序檢測不到該活動中使用的文件類型,截至 7 月 7 日,VirusTotal 的檢測率為 0%。
 

這是很特別的一個現象,我們可以從HP Wolf Security的文章中了解更多細節,那麼對於企業所面臨的威脅可以怎麼有效的進行防護呢?
 
首先,我們要了解現有安全產品的防護機制,對於偵測不到的威脅是否有足夠的能力進行防護,於先前的文章中防病毒對電子郵件安全有效嗎?提到的相關描述我們可以了解到幾點:
  • 現階段, 每小時出現 14,000 個新惡意軟體
  • 一些 AV 引擎以長達 2 到 16 小時或一整天的巨大間隔更新
  • 多型態產生器可以隱藏來自 AV 掃描的實際病毒 

鑑於上述數據, 91% 的網路攻擊從電子郵件開始並仍然是惡意行為者的最大攻擊媒介也就不足為奇了,因為它便宜、易於使用,並且為組織提供了直接的通信管道。惡意軟體仍然如此成功足以讓惡意行為者如何將其有害腳本/內容傳遞到用戶郵箱,主要附件類型列表:
  • 壓縮文件(從 17.26% 上升到 38%),
  • Word 文件(23% – RTF 文檔 38%),
  • 電子表單 (17%),
  • 可執行文件 (16%) 
看到這裡,我們也可以很明顯的看到對於長久以來的偵測,並沒有此次攻擊所使用的檔案類型,這也是此攻擊型態獨特的地方,我們或許開始思考針對這樣類型的檔案進行控制及封鎖,但不幸的是永遠沒有完整的檔案類型清單我們可以進行控制。
 
2022年3月,日本總務省發佈了地方政府信息安全政策指引,該安全政策指引中提到LGWAN (Local Government Wide Area Network) 需注意的關鍵事項,注意危險因子去除的重要性。此項指引顯著的表示需要更有效的控制相關郵件及檔案傳輸安全,其中CDR的技術就特別的重要,當檔案經過CDR的清洗後,使用者所接觸到的檔案,就不再具有威脅,CDR的關鍵技術可以將相關武器化的檔案進行無毒化動作,包含:巨集、連結和內嵌(OLE) 物件或是存在於圖片、影片中的物件等等。
 
另外,我們也可以利用沙箱技術針對未知的威脅進行動態分析,只不過沙箱的處理時間會依照不同的需求而有著不同的回應時間,對於郵件及檔案傳輸的過程中往往會造成延遲的問題,這也是Gartner提到的,利用CDR的技術來避免惡意軟體規避沙箱檢測的技術及補充其不足的問題。
 
但並非沙箱就是一個不好的解決方案,可以透過CDR整合現有的沙箱技術,透過CDR及MultiScanning的技術所偵測到的問題檔案,可以再轉送到沙箱或是EDR進行分析,如此一來對於事前、事中及事後的階段就會有一個完整的藍圖出現。
 
本文為投稿文章,不代表社方立場。