近期不少客户询问关于附件文件夹带.ISO、.IMG等镜像文件的攻击行为。事实上,守内安与ASRC 研究中心在《2019 年第三季度电子邮件安全趋势报告》中,就已指出在 2019年第三季度观察到不少黑客利用 UDF 镜像文件附件作为攻击工具的案例:UDF 镜像文件原是用于光盘备份、刻录前缓存、大量复制光盘,其扩展名多为 .iso、.img等。由于这类镜像文件有其特定用途,部分防毒墙、防火墙、终端防病毒软件会忽略对这类格式文件的大小限制或其内容的检查,因此攻击者就利用此缺口,将病毒嵌在标准合法的 UDF 镜像文件内,以躲过各种检查关卡。再次提醒管理者要意识到镜像文件也可被用于攻击,并作安全部署考虑。
这类攻击几乎都与商业交易行为有关,涉及订单、发票、询价报价、交易通知,内容也十分本土化,亚洲地区发现的样本除了英语外,也有韩语、简繁体中文。攻击在2019年第四季度达到高峰,2020年第一季度整体数量降至前一季度的1/3,并且,除了.ISO、.IMG等常见的镜像文件格式被利用之外,我们也观察到有少量的.DAA格式镜像文件在外散播。
守内安与ASRC至今仍持续监控这类攻击。事实上.ISO、.IMG夹带恶意程序并不是什么新闻,长期以来一直都有,可以把它想成是一种压缩文件,类似zip中藏了恶意程序。因此,以.ISO文件来说,装Winrar的Windows会将他的图标显示为Winrar可支持的压缩文件 (Winrar预设关联.ISO文件),对于收到这种.ISO文件的收件人来说,可能会很自然地将它打开,并执行恶意程序。
守内安再次提醒企业小心留意,防御镜像文件攻击可以这么做:
-
取消隐藏扩展名,对镜像文件附件多加留意。
-
加强员工安全意识,对来路不明的邮件高度警惕。
-
使用邮件防御系统,提供员工相对安全的邮件使用环境。
目前守内安 SPAM SQR 已可防御这类镜像文件攻击
关联阅读
ASRC 2019 年第三季度电子邮件安全趋势报告
http://www.softnext.com.cn/news_main.html?pg=6&tag=cn1&nid=3
微软警告垃圾邮件传播恶意镜像文件,可能为攻击企业用户做准备
http://www.chinaemail.com.cn/blog/content/11349/
封面用图来源:摄图网
来源:freebuf.com 2020-05-11 17:01:32 by: softnext守内安
请登录后发表评论
注册