駭客運用映像檔躲避檢查關卡,對各產業發動攻擊

近期不少企業詢問關於附件檔夾帶 .ISO、.IMG 等映像檔的攻擊行為。事實上,ASRC 研究中心在「2019 年第三季電子郵件安全趨勢報告」中,便已揭露在 2019 年第三季觀察到不少駭客利用 UDF 映像檔附件做為攻擊工具的案例:UDF 映像檔原是用於光碟備份、燒錄前暫存、準備於大量複製光碟之用,其副檔名多為 .iso、.img… 等。由於這類映像檔有其特定用途,部分的防毒牆、防火牆、終端防毒軟體會忽略對這類格式檔案的大小限制或其內容的檢查,因此攻擊者就利用此缺口,將病毒嵌在標準合法的 UDF 映像檔格式內,以躲過各種檢查關卡。再次提醒管理者要意識到映像檔也可被運用於攻擊,並作為資安策略的考量。


這類型的攻擊主旨幾乎都與商業的交易行為有關,舉凡提及訂單、發票、詢價報價、交易通知,內容也十分在地化,亞洲區發現的樣本除了英文外,也可見到韓文、簡繁體中文。攻擊在 2019 年第四季達到高峰,2020 年第一季整體數量降至前一季的1/3,並且,除了 .ISO、.IMG 等常見的映像檔格式被利用之外,我們也觀察到有少量的.DAA 格式映像檔在外散播。


ASRC 與中華數位科技至今仍持續監控這類型的攻擊。事實上 .ISO、.IMG 夾帶惡意程式不是新聞,長期以來都是有的,可以把它想成是一種壓縮檔,類似 zip 中藏了惡意程式這樣的寄送方式。因此,以 .ISO 檔來說,有裝Winrar 的 Windows 會將他的圖示標為 Winrar 可支援的壓縮檔 (Winrar 預設關聯 .ISO 檔),對於收到這種 .ISO 檔的收件者來說,可能會自然的將它打開,並執行惡意程式。

ASRC 再度提醒企業小心留意,防禦映像檔攻擊可以這麼做:

    1. 取消隱藏副檔名,對映像檔附件多加留意。

 

    1. 加強人員安全意識,面對來路不明的郵件抱持高度懷疑的態度。

 

  1. 運用合適的郵件防禦設備,提供人員較安全的郵件使用環境。

    目前中華數位 SPAM SQR 已可防禦這類映像檔攻擊

關於Version 2 Limited
Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於中華數位科技 Softnext Technologies Corp.
創立於2000年8月。
秉持著【We Secure Your Content】的服務理念,以提供企業資訊應用管理服務及打造資訊內容安全防護為宗旨。專精於提供網路應用服務技術,根據市場需求推出多款資訊內容安全的解決方案及應用服務,能夠協助企業透過符合資安管理規範並遵循法規的方式進行資訊內容安全管理,以維護員工的生產力、提升企業經營績效。