Content Disarm and Reconstruction CDR APT Sandbox Antivirus Votiro

從源頭防堵惡意程式滲透 零時差攻擊也無從下手

檔案防火牆拆解元件 阻絕威脅觸及用戶端

2019-10-24
台灣近幾年爆發的資安事件,攻擊手法不外乎利用郵件附加檔、網頁連結下載取得的檔案內夾帶滲透程式。許多企業或組織不免覺得疑惑,為何已經部署了不同技術的防護措施,卻仍舊無法遏制威脅入侵?力悅資訊總經理彭國達觀察,根本原因在於惡意程式利用檔案型式發送的手法防不勝防,即便把檔案經過完整解析也未必能認定潛藏攻擊。

 

專注於提供CDR解決方案的Votiro,擅長處理PDF與圖檔格式,在台灣市場是由力悅資訊在2016年引進。

彭國達強調,「Votiro在日本相當受歡迎,甚至日本政府前幾年提出的無害化法規,就是仰賴Vitiro來實現。」不論是病毒、蠕蟲、利用合法指令集發動的攻擊,終究需要載體運送進入到端點,經常被利用的檔案類型,即是Office、PDF、JPG、BMP等格式。其中的PDF、圖檔,儘管無法編修本文,卻具備承載程式碼的特性,足以讓惡意人士用來運送攻擊程序。

Votiro CDR獨特之處,彭國達指出,首先是單一檔案可拆解到最小物件,查找出可被執行的程式,無須分析判斷究竟是否為惡意,直接予以清除;其次是經過重組還原的檔案,可完整保留文件檔案的版本、註解、追蹤、函式等屬性值,並非僅粗暴地清洗成為純文字檔案或轉成PDF格式。

以惡意郵件的實際案例來看,只要透過Excel來運送攻擊程式,即可簡單繞過特徵碼偵測機制,攻擊者相當清楚透過特徵碼比對的技術限制,難以擴展到Payload的偵測,這也是當初APT攻擊興起時,需要仰仗沙箱技術模擬分析的主因。

此外,針對多層壓縮過後的檔案,可能是PDF夾帶Word,拆解後Word又夾帶Excel,對此Votiro可處理到最後一層的檔案,直到成為最小物件為止,即便是壓縮再多層也得以拆解。

拆解到最小物件清除可執行程式

不論IT架構如何演進,最常被利用來發動滲透攻擊的管道仍舊是網頁與郵件附加檔案,為了避免現階段閘道端建置的資安機制易被繞過,廠商提出可藉由CDR技術來確保安全性。Votiro便強調,任何打包的型態皆有能力予以拆解到最小物件,運用防毒引擎掃描,或是清除可執行的程式碼,以免遭勒索軟體感染。

儘管員工的資安意識增強,確實有助於降低遭受社交工程郵件感染的風險,但現代攻擊者相當擅長運用最新時事、熱門議題等主旨進行偽裝,一旦員工因為好奇心驅使開啟檔案,就被滲透成功。即使惡意檔案並非從郵件、網頁所下載,而是透過隨身碟帶入公司內部,例如金融、證券等產業,外部據點眾多,Votiro亦可採用雲端服務搭配內部部署的中央控管平台配置控管政策協助保護。

「概念上類似於次世代防火牆採以深度封包檢測技術取得資訊,Votiro提供的CDR堪稱針對檔案所設計的防火牆機制。相較於許多企業或組織曾導入沙箱技術模擬分析來強化偵測,卻仍難免發生遺漏,國際市場調查機構甚至曾經提及,CDR亦可定義為取代沙箱的新技術。」彭國達說。

經過CDR檔案防火牆處理過後的檔案通常會有兩份,清除過後的檔案遞送到終端用戶,確保安全無虞狀況下得以執行日常工作,原始檔案則是保留在伺服器端。假設收取到的檔案為CDR不支援的檔案格式或Binary無法拆解,條件可設定為阻止傳遞,同時發送通知終端用戶,此時仍可藉由整合第三方的沙箱技術模擬分析,例如Votiro已整合的FortiSandbox,藉此讓IT管理者有更多資訊評估檔案是否得以放行。

勒索軟體到達用戶端前及時攔阻 

前述利用多層式打包惡意程式的案例,力悅資訊資深技術顧問呂啟暉指出,曾處理過單一個Word檔案拆解出內嵌了179個物件,其中一項是PowerPoint檔案夾帶了ZIP檔案,解壓縮後發現是執行檔,Votiro清除後置換成Block.pdf,以說明內嵌物件遭到清除的原因,經過重組後再傳遞給終端用戶。

「為了測試多層式檔案的拆解分析能力,我們自行在Word檔案中內嵌攻擊程式,之後用壓縮軟體打包5層,Votiro方案同樣可成功地發現並予以清除。偵測方式是檢查Payload中的特徵,只要具有執行能力,即可判定為可疑,進而予以清除。」呂啟暉說。

Votiro運作模式是先透過合法授權的Avria、Eset、Bitdefender等防毒引擎執行掃描,若未偵測到惡意特徵碼,緊接著會查看檔案型態,處理非法或可疑的格式。例如.txt副檔名被改為.docx等同樣為文件屬性的格式,對於資安而言屬於高風險的一環,Votiro解析後發現這類不一致的型態,會先行攔阻並提出告警通知,經過IT管理者評估確認才可放行;假設是執行檔偽裝成.docx,Votiro拆解Payload發現並非為文件格式,則同樣先執行攔阻,後續再透過沙箱機制模擬分析確認安全性。

IT管理者可透過中央控管平台的圖形化介面設定執行政策,先選擇檔案的類型,總數大約將近百種,除了辦公環境常見到的檔案格式,包含特定產業,例如醫療數位影像傳輸協定(DICOM)檔案也可支援。

力悅資訊資深技術顧問呂啟暉指出,檔案傳輸過程中增添CDR處理機制,企業用戶難免擔心延遲時間過長,經過技術團隊以6MB檔案實際測試,運行時間平均大約14秒,不至於影響終端用戶的使用體驗。

呂啟暉強調,實際上,資安現況不容樂觀,現代的惡意攻擊者為了竊取高經濟價值的機敏資料,或是業主會支付贖金的勒索模式,即使成功滲透入侵到企業或組織內部也不會聲張,IT管理者就現有的工具根本無從得知,再加上過往處理電腦感染病毒的方法,習慣上都是直接重新安裝作業系統,畢竟日常工作相當繁瑣,根本沒有額外時間鑽研感染途徑與損害範圍。

最經典的即是韓國的比特幣公司,遭加密勒索軟體感染,全部檔案被鎖定,原本以為異地備份可解決,沒想到也遭感染,在無力回天之下宣布關閉公司。呂啟暉指出,Votiro其實有能力阻止檔案異常執行的行為,例如廠商提供的報價單,執行時卻是呼叫作業系統核心檔案,這類高風險的行為,Votiro處理方式是直接予以隔離攔阻。

攻擊者運用的檔案格式通常有流行性,近期是常見利用ISO、ACE等壓縮格式檔夾帶攻擊程式,可透過WinRAR軟體漏洞來執行。由於Votiro可拆解的格式檔案眾多,不論是已知或變種的檔案,皆同樣可藉此發現,在到達終端用戶前就已先被清除,甚至是直接攔阻,如此才可真正杜絕後患,即便是零時差攻擊也難以得逞。

【專題報導】:CDR檔案除污 力抗滲透危害


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!