黑客运用镜像文件躲避检查关卡,对各行业发动攻击 – 作者:softnext守内安

近期不少客户询问关于附件文件夹带.ISO、.IMG等镜像文件的攻击行为。事实上,守内安与ASRC 研究中心在《2019 年第三季度电子邮件安全趋势报告》中,就已指出在 2019年第三季度观察到不少黑客利用 UDF 镜像文件附件作为攻击工具的案例:UDF 镜像文件原是用于光盘备份、刻录前缓存、大量复制光盘,其扩展名多为 .iso、.img等。由于这类镜像文件有其特定用途,部分防毒墙、防火墙、终端防病毒软件会忽略对这类格式文件的大小限制或其内容的检查,因此攻击者就利用此缺口,将病毒嵌在标准合法的 UDF 镜像文件内,以躲过各种检查关卡。再次提醒管理者要意识到镜像文件也可被用于攻击,并作安全部署考虑。

这类攻击几乎都与商业交易行为有关,涉及订单、发票、询价报价、交易通知,内容也十分本土化,亚洲地区发现的样本除了英语外,也有韩语、简繁体中文。攻击在2019年第四季度达到高峰,2020年第一季度整体数量降至前一季度的1/3,并且,除了.ISO、.IMG等常见的镜像文件格式被利用之外,我们也观察到有少量的.DAA格式镜像文件在外散播。

守内安与ASRC至今仍持续监控这类攻击。事实上.ISO、.IMG夹带恶意程序并不是什么新闻,长期以来一直都有,可以把它想成是一种压缩文件,类似zip中藏了恶意程序。因此,以.ISO文件来说,装Winrar的Windows会将他的图标显示为Winrar可支持的压缩文件 (Winrar预设关联.ISO文件),对于收到这种.ISO文件的收件人来说,可能会很自然地将它打开,并执行恶意程序。

守内安再次提醒企业小心留意,防御镜像文件攻击可以这么做:

  1. 取消隐藏扩展名,对镜像文件附件多加留意。

  2. 加强员工安全意识,对来路不明的邮件高度警惕。

  3. 使用邮件防御系统,提供员工相对安全的邮件使用环境。

目前守内安 SPAM SQR 已可防御这类镜像文件攻击

关联阅读

ASRC 2019 年第三季度电子邮件安全趋势报告

http://www.softnext.com.cn/news_main.html?pg=6&tag=cn1&nid=3

微软警告垃圾邮件传播恶意镜像文件,可能为攻击企业用户做准备

http://www.chinaemail.com.cn/blog/content/11349/

封面用图来源:摄图网

来源:freebuf.com 2020-05-11 17:01:32 by: softnext守内安

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论