2011年,一年一度的美國資安大會Black Hat,來自台灣的資安研究員潘明杰(Nanika)、蔡松廷(TT)發表了- ” Weapons of Targeted Attack: Modern Document Exploit Techniques”,談的主要是最新的惡意文件攻擊技術。
一般的APT攻擊多為客製化,意指收到攻擊程式的,只有特定的受害對象,蔡松廷說:「寄給你的攻擊程式,只有你會收到,和其他人的都不一樣,掃毒軟體就更不用掃了,因為根本沒樣本。而且他可以先用各家掃毒先測過,確定沒問題,再拿來寄給你,保證防毒無效。」因此,為了要躲過掃毒軟體或是針對受害者環境調整,所以在APT攻擊,常會使用可以客製化的惡意文件攻擊技術。
所謂的混合式文件攻擊,就例如office的Excel文件裡面包藏了一個flash漏洞攻擊,Excel本身沒問題,但Flash有漏洞所以可被包藏惡意程式,文件當中包藏禍心,這就是駭客躲過防毒軟體的創意運用。
但是,為什麼駭客選擇使用Excel?
潘明杰說,因為office 2007之前的版本,自動把保護(DEP, Data Execution Prevention)關掉或沒開保護,這也使得駭客能夠更容易寫出有效的惡意文件。DEP的保護功能就在於讓攻擊程式相當難以製作,即使是駭客已知有漏洞,製作出來的攻擊程式還是很難運行。因此,在office 2007以前的版本,等於是駭客的良好攻擊平台。他們也在公佈此攻擊技術前與微軟安全團隊聯繫(去年4月),不過,蔡松廷說,微軟方面僅提到office 2010之後的版本將不會有此問題。
其實,這甚至也不算是office軟體的「漏洞」,但卻被駭客拿來巧妙的利用,製造出新的攻擊手段。
▲ 駭客運用混合式文件技術進行APT針對式攻擊,讓惡意程式藏在正常的文件當中,躲過資安軟體。
左起:潘明杰(Nanika)、蔡松廷(TT)。
他們也提出幾點「相對安全」建議:
1. 老話一句:來路不明的附件不要亂開,有patch出來及早更新。
2. 既然駭客採取的是混合文件攻擊,所以不僅是Windows作業系統和Office文件要上Patch,其他可包覆在Office內的activex 元件,如Adobe Reader、Flash等,也要隨之更新。例如建議更新到Adobe Reader 10,別再用9.x的版本。
3. Office更新到2010,因為新的版本加了許多DEP、Sandbox之類的最新安全技術。
據悉,除了RSA以外,國內亦有某政府單位受到此種混合式的文件攻擊,而遭到入侵。
(可參考新聞:網路有鬼,APT陰魂不散)