近期不少客戶詢問關於附件文件夾帶.ISO、.IMG等鏡像文件的攻擊行為。事實上,守內安與ASRC 研究中心在《2019 年第三季度電子郵件安全趨勢報告》中,就已指出在 2019年第三季度觀察到不少黑客利用 UDF 鏡像文件附件作為攻擊工具的案例:UDF 鏡像文件原是用於光盤備份、刻錄前緩存、大量複製光盤,其擴展名多為 .iso、.img等。由於這類鏡像文件有其特定用途,部分防毒牆、防火牆、終端防病毒軟件會忽略對這類格式文件的大小限制或其內容的檢查,因此攻擊者就利用此缺口,將病毒嵌在標準合法的 UDF 鏡像文件內,以躲過各種檢查關卡。再次提醒管理者要意識到鏡像文件也可被用於攻擊,並作安全部署考慮。
這類攻擊幾乎都與商業交易行為有關,涉及訂單、發票、詢價報價、交易通知,內容也十分本土化,亞洲地區發現的樣本除了英語外,也有韓語、簡繁體中文。攻擊在2019年第四季度達到高峰,2020年第一季度整體數量降至前一季度的1/3,並且,除了.ISO、.IMG等常見的鏡像文件格式被利用之外,我們也觀察到有少量的.DAA格式鏡像文件在外散播。
守內安與ASRC至今仍持續監控這類攻擊。事實上.ISO、.IMG夾帶惡意程序並不是什麼新聞,長期以來一直都有,可以把它想成是一種壓縮文件,類似zip中藏了惡意程序。因此,以.ISO文件來說,裝Winrar的Windows會將他的圖標顯示為Winrar可支持的壓縮文件 (Winrar預設關聯.ISO文件),對於收到這種.ISO文件的收件人來說,可能會很自然地將它打開,並執行惡意程序。
守內安再次提醒企業小心留意,防禦鏡像文件攻擊可以這麼做:
- 取消隱藏擴展名,對鏡像文件附件多加留意。
- 加強員工安全意識,對來路不明的郵件高度警惕。
- 使用郵件防禦系統,提供員工相對安全的郵件使用環境。
目前守內安 SPAM SQR 已可防禦這類鏡像文件攻擊
分享到:
