2017第一季 新型高级攻击手法再升级,企业防护难度与风险俱高
ASRC 研究中心主任 高铭钟

为了获取更大的攻击利益,黑客开始跳脱原本的攻击思维,更为躲避防御机制的侦测,而发展出各种新型的高级攻击手法。
在2017第一季,陆续发现了不少来自电子邮件的新型高级攻击。虽然大部份的企业开始意识到电子邮件是网络威胁主要的安全缺口,但是随着攻击手法日益翻新,企业防护的难度与风险越来越高,如果没有高级的保护机制,仍然无法抵挡这类高级攻击。

新型高级攻击手法摘要

手法1:发送静态钓鱼网页至受攻击者计算机
将钓鱼的网页以静态网页的方式,将内容呈现在受害者的本地端计算机;当受害者误信填入敏感数据时,会以post 方法传送。部份上网安全管控软件无法有效防御

手法2:发送藏有可判定操作系统环境VBA的 doc文件
VBA可判定操作系统环境为Windows或Mac,再决定接下来的攻击手法

手法3:无文档恶意软件攻击 (近期较危险的攻击)
通过VBA呼叫Windows 内建的Powershell,将恶意文档执行于内存之中

手法4:新漏洞CVE-2017-0199
可以让被攻击者在打开恶意的RTF文档后,无需被攻击者配合,便直接连外至恶意网页服务器,下载并执行被刻意设置的假.hta文档,并直接执行其内容。

高级攻击手法详解

手法1:递送静态钓鱼网页至受攻击者计算机
在附件文件中夹带.htm文档,或通过一个PDF文件内藏phishing Link连往一个静态网页后,开启钓鱼网页内容的攻击。
不同于以往,这类攻击不是让受害者连往恶意网站,而是将钓鱼的网页以静态网页的方式,将内容呈现在受害者的本地端计算机;当受害者误信钓鱼网页内容,并填入敏感数据送出时,会以post的方法进行传送,因此,部分的上网安全管控软件就无法有效避免受害者接触及传送网络钓鱼的内容。


通过一个PDF文件内藏phishing Link连往一个静态网页


静态网页内容


静态网页被展示时,网址列不是一个网址


用以骗取电子邮件账号密码的脱机静态钓鱼网页

手法2:发送藏有VBA的doc文档
在电子邮件的内容附文件放置一个.doc文档,这个.doc文档藏有恶意的VBA,VBA可以判定所使用的操作系统环境为Windows或是Mac OS X 再决定接下来要采取的攻击手法。


恶意文件中取出的VBA,用以判断操作系统的部分程序代码

手法3:无文档恶意软件攻击
近期较为危险的无文档恶意软件攻击,通过发送一份恶意的Office文件,再直接通过VBA呼叫Windows内建的PowerShell开启,将恶意文档执行于内存之中。


直接通过VBA呼叫Windows内建的PowerShell开启,将恶意文档执行于内存之中

手法4:新漏洞CVE-2017-0199
为近期被发现的新漏洞CVE-2017-0199,它可以让被攻击者在打开恶意的RTF文档后,无需被攻击者配合,便直接连外至恶意网页服务器,下载并执行被刻意设置的假.hta文档,并直接执行其内容。

综合上述案例,可以发现攻击的演化十分快速且多样,提醒用户慎防!

回到列表