首頁 > 焦點新聞

APT又現新攻擊手法 收到加密文件別急著解

作者:吳依恂 -2012 / 05 / 28 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

APT攻擊近來又出現新手法,持續與資安人鬥智,約在五月上旬左右,APT攻擊防禦廠商紛紛收到一些特別的攻擊樣本-要求輸入密碼的DOC、PDF或XLS檔案,而許多免費的PDF解碼軟體又往往暗藏惡意程式,這類的手法過去多半用在魚叉式的釣魚攻擊上。

FireEye台灣暨香港區技術經理林秉忠說,這是因為加密之後會把內文全部鎖住,所以一般的Gateway端防禦,基本上檢查的掃描程式根本就看不到內容,因此無從得知是否有攻擊。不過他也說,有些sandbox可以「模擬使用者輸入」因而找出惡意程式。


圖片來源:Xecure Lab提供。

Xecure Lab首席資安研究員邱銘彰也表示,目前將這些樣本上傳到VirusTotal、ThreatExpert、CWSandbox等網站,幾乎全部都沒辦法分析出來,密碼隨信附上,沒有密碼也打不開文件,因此傳統的分析手段就使不上力,某種程度上可以解開密碼的APT攻擊防禦廠商才能找出威脅。他說,目前經過自動化分群鑑識觀察,可以發現近來這批惡意文件都是來自同一個族群。



如欲閱讀完整內容,請成為《進階會員》
推薦此文章
18
人推薦此新聞
文章回應話題
有趣 發表於: 2012 / 07 / 03
Shellcode 改一下

文件加了密碼還能找得到?

不要把 drop 要丟出的程式直接附加在文件檔尾, 或是只做簡單的 byte-by-byte xor.
Zero 發表於: 2012 / 05 / 30
Linix、OpenOffice呀....
當用戶群成長變多了,自然攻擊者的目標就會轉移過去了,
OpenOffice也是有被挖出0 day漏洞的呀 XD

另外"最簡單的解決辦法就是把密碼跟原文件丟進 sandbox 去模擬。"比較好的處理方式應該會是Gateway在收到這個e-mail時解attachment遇到加密就自動search e-mail中的string來做暴力破解,不過也還是有死穴..... 就像zha0說的,我改用圖片就躲過了,大不了把e-mail drop掉?(?!)或直接改Title標示成Suspicious E-Mail讓User警覺?
Jacky 發表於: 2012 / 05 / 29
"最簡單的解決辦法就是把密碼跟原文件丟進 sandbox 去模擬。 " 這段是我們要手動做 還是fireeye會自動做? OpenOffice就沒有漏洞嗎?不是連Mac平台都出事了? 有模擬Mac環境的sandbox嗎?
Koo$f.ou 發表於: 2012 / 05 / 29
還不如來套LINUX-OpenOffice
林秉忠 發表於: 2012 / 05 / 29
這種攻擊方式就是希望使用者能打開文件,所以一定會有很明確的指示告訴你怎麼去把文件正確的開啟,因此最簡單的解決辦法就是把密碼跟原文件丟進 sandbox 去模擬。 更進階的問題就像是 zha0 說的,用更賤的招式把密碼包起來處理,這樣的話就需要使用暴力破解的方式解出密碼來。
Jacky 發表於: 2012 / 05 / 29
有些sandbox是指fireeye嗎 但模擬使用者輸入聽起來很土法煉鋼 可行嗎?
zha0 發表於: 2012 / 05 / 28
以前的 Email Worm 在 ZIP 加密碼 ? 如果要這樣搞, 之後要加一段圖形辨識的了, 今天如果他的密碼是圖片顯示的話, 那取名文會取不出來 SPAM XD
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…