2017第一季 新型進階攻擊手法再升級,企業防護難度與風險俱高
ASRC 研究中心主任 高銘鍾

為了獲取更大的攻擊利益,駭客開始跳脫原本的攻擊思維為躲避防禦機制的偵測,而發展出各種新型的進階攻擊手法。

在2017第一季,陸續發現了不少來自電子郵件的新型進階攻擊。雖然大部份的企業開始意識到電子郵件是網路威脅主要的安全缺口,但是隨著攻擊手法日益翻新,企業防護的難度與風險越來越高,如果沒有進階的保護機制,仍然無法抵擋這類進階攻擊。

新型進階攻擊手法摘要

手法1:遞送靜態釣魚網頁至受攻擊者電腦
將釣魚的網頁以靜態網頁的方式,將內容呈現在受害者的本地端電腦;當受害者誤信填入敏感資料時,會以post 方法傳送。部份上網安全管控軟體無法有效防禦

手法2:寄送藏有可判定作業系統環境VBA的 doc檔
VBA可判定作業系統環境為Windows或Mac,再決定接下來的攻擊手法

手法3:無檔案惡意程式攻擊 (近期較危險的攻擊)
透過VBA呼叫Windows 內建的Powershell,將惡意檔案執行於記憶體之中

手法4:新漏洞CVE-2017-0199
可以讓被攻擊者在打開惡意的RTF檔案後,不必被攻擊者配合,便直接連外至惡意網頁伺服器,下載並執行被刻意設置的假.hta文檔,並直接執行其內容。

進階攻擊手法詳解

手法1:遞送靜態釣魚網頁至受攻擊者電腦
在附件檔中夾帶.htm檔案,或透過一個PDF檔內藏phishing Link連往一個靜態網頁後,開啟釣魚網頁內容的攻擊。
不同於以往,這類攻擊不是讓受害者連往惡意網站,而是將釣魚的網頁以靜態網頁的方式,將內容呈現在受害者的本地端電腦;當受害者誤信釣魚網頁內容,並填入敏感資料送出時,會以post的方法進行傳送,因此,部分的上網安全管控軟體就無法有效避免受害者接觸及傳送網路釣魚的內容。


透過一個PDF檔內藏phishing Link連往一個靜態網頁


靜態網頁內容

靜態網頁被展示時,網址列不是一個網址

用以騙取電子郵件帳號密碼的離線靜態釣魚網頁

手法2:寄送藏有VBA的doc檔
在電子郵件的內容附檔放置一個.doc檔案,這個.doc檔案藏有惡意的VBA,VBA可以判定所使用的作業系統環境為Windows或是Mac OS X 再決定接下來要採取的攻擊手法。


惡意文件中取出的VBA,用以判斷作業系統的部分程式碼

手法3:無檔案惡意程式攻擊
近期較為危險的無檔案惡意程式攻擊,透過寄送一份惡意的Office文件,再直接透過VBA呼叫Windows內建的PowerShell開啟,將惡意檔案執行於記憶體之中。


直接透過VBA呼叫Windows內建的PowerShell開啟,將惡意檔案執行於記憶體之中

手法4:新漏洞CVE-2017-0199
為近期被發現的新漏洞CVE-2017-0199,它可以讓被攻擊者在打開惡意的RTF檔案後,不必被攻擊者配合,便直接連外至惡意網頁伺服器,下載並執行被刻意設置的假.hta文檔,並直接執行其內容。

綜合上述案例,可以發現攻擊的演化十分快速且多樣,提醒用戶慎防!
回到列表