當使用者不經意點選開啟時,表面上看起來似乎是正常檔案,背景卻利用合法的JavaScript、PowerShell等指令,執行回呼外部中繼站,下載勒索軟體或漏洞攻擊程式,不僅電腦作業系統中的檔案恐全數遭惡意加密,甚至可能爆發瞬間橫向擴散,大規模感染相同網段的所有裝置,導致營運工作停擺的災難。
正常文件檔案內嵌可注入攻擊碼
儘管企業可能已建置郵件安全、次世代防火牆、端點安全防護、入侵防禦偵測,甚至是APT攻擊防護等不同功能性的資安技術,面對攻擊策略、技術、流程不斷地推陳出新,防禦機制亦必須有因應措施。除了既有的特徵碼分析比對可偵測已知型攻擊,針對變種或新型態的惡意程式,現階段已廣泛地採用沙箱技術,讓無法辨識的檔案先行在虛擬環境中實際執行,以確認是否為正常。
攻擊方當然很清楚防禦方已普遍採用沙箱技術模擬分析判斷變種病毒,促使迴避偵測的手法再度變換,現階段無檔案式(Fileless)攻擊幾乎已成為主流,利用多數人工作時用來交換資訊的文件檔、圖片檔等格式來運送合法指令程序,觸發執行時除了可直接下載惡意軟體,亦可能把啟動流程的腳本拆分為多個階段,並分散在不同執行緒,只有在同時運行時才會產生滲透攻擊的效果。
為了因應各種利用正常檔案夾帶惡意程式以繞過偵測機制的攻擊手法,資安市場上近年來把原本用於軍方,對於資訊安全要求強度極高的單位,所採用的檔案內容撤銷與重建(Content Disarm and Reconstruction,CDR)技術,也開始推廣到企業或組織,輔助沙箱模擬分析或防毒軟體增強防護力。例如專精研發設計CDR方案的Opswat、Votiro等廠商,以及基於網路安全延伸發展的Check Point、Fortinet等業者,則直接在新版本韌體中納入CDR機制,搭配原本擅長的資安技術建立整合防護。
Opswat亞太區副總經理林秉忠觀察,傳統對於資安風險控管投入較為保守的製造業,在2018年國內半導體工廠機台遭勒索軟體感染事件爆發,釀成數十億元營收損失後,對於眾多的本土製造業可說是相當大的警訊,由此案例可凸顯出資安風險控管相當嚴謹的企業,也可能遭受惡意程式感染造成重大損失,更何況是防護力相對較弱的企業。
「以往認為工廠機台只要不接取網際網路即可安全無虞,沒想到去年半導體業者爆發的重大資安事故,卻是在機台系統進廠過程中遭受感染進而擴散到其他地區。此後大家才意識到遭受攻擊的危險程度,即便是實體網路隔離的保護模式,近年來同樣陸續地爆發出資安事件,才使得對於CDR機制的需求浮上檯面。」
林秉忠進一步指出,另一個驅動因素是數位化銀行。如今的銀行業逐步開放內部核心業務之後,必須接收更多外部資料,多數企業擔心被惡意人士所利用來檔案夾帶攻擊程式,近來也開始評估市場上可解決問題的方案。
拆解到最小執行物件重組仍保留文件
就本土近幾年爆發的資安事件來看,攻擊手法不外乎利用郵件附加檔、網頁連結下載取得的檔案內夾帶滲透程式。力悅資訊總經理彭國達觀察,有許多企業或組織感到相當疑惑,為何已經部署了不同技術的防護措施,卻仍舊無法遏制威脅入侵。多數高階管理層並未意識到,外部攻擊威脅根本永無休止,惡意人士會持續不斷地設計新方法突破重圍滲透到端點系統,近期流行的惡意程式利用各種檔案格式發送,更是防不勝防,即便把檔案經過完整解析也未必能認定潛藏攻擊。
事實上,文件嵌入惡意程式的手法,基本的Office可夾帶VBA、PowerShell來攻擊漏洞或下載惡意Payload;PDF本身則是具有可內嵌JavaScript能力;圖檔類型則是圖像隱碼術(Steganography),主要潛藏於Header。進階型的手法則是透過OLE物件夾帶攻擊檔案、多層式壓縮,或是前述手法的綜合運用。
彭國達以力悅代理的Votiro方案為例,其主要擅長處理PDF與圖檔格式,關鍵在於有能力把單一檔案拆解到最小物件,查找出可被執行的程式,無須分析判斷究竟是否為惡意,直接予以清除。執行完成後經過重組還原的檔案,可完整保留文件檔案的版本、註解、追蹤、函式等屬性值,並非清洗成為純文字檔案或轉換為PDF唯讀。此作法目前已可支援近百種檔案格式,足以因應不同產業所需。
以實際案例來看,接受到的郵件中只要透過Excel、Binary來運送攻擊程式,即可簡單繞過特徵碼偵測機制,攻擊者相當清楚透過特徵碼比對的技術限制,難以擴展到Payload的偵測,這也是當初APT攻擊興起時,需要仰仗沙箱技術模擬分析的主因。此外,針對多層壓縮過後的檔案,可能是PDF夾帶Word,拆解後發現Word又夾帶Excel,藉由Votiro可處理到最後一層的檔案,直到成為最小物件為止,正可破除這類混合手法的危險性。
清除郵件附檔內程式防堵APT來襲
有些企業已經投資建置了不少資安技術,如今為提升防禦力想再增添CDR方案,不免會思考,是否可取代掉一些既有建置,例如閘道端的APT郵件防禦設備?林秉忠認為,「以Opswat的技術確實足以取代。畢竟APT攻擊的第一步就是發送惡意郵件,只要把附加檔案中可能被嵌入攻擊程式碼的部分去除,便幾乎難以滲透成功。」
為了對抗層出不窮的未知威脅手法,許多資安廠商宣稱採用人工智慧與機器學習演算分析來輔助判斷,例如傳統防毒軟體廠商,本就採用演算法來解析病毒樣本取得特徵值,再發布更新到終端引擎;也可能是運用演算法從蒐集取得多個樣本中萃取出可疑的特徵,只要在代理程式中納入,確實可發揮效果,問題是,主要僅用於偵測,取代以往的模糊比對並回收樣本進一步執行判斷,而非用於防護。
「事實上,坊間『人工智慧與機器學習』多數為行銷話術,」林秉忠進一步說明,實際上只是縮小可疑範圍,取回最可疑的檔案,還是必須經過專業拆解才得以精準判讀。市場上真正運用人工智慧判讀的端點安全廠商只有CrowdStrike、Cylance(已被BlackBerry併購)、Carbon Black(已被VMware收購)等寥寥數家,Opswat MetaDefender Core解決方案中內建的八個防毒引擎中即整合CrowdStrike技術。值得一提的是,所有防毒引擎都有完整原廠授權,不會有違約使用的問題。若解決方案平台整合多個廠商提供的防毒引擎,以提升偵測力,企業必須確認每個引擎皆為合法授權,避免發生侵權爭議。
【專題報導】:CDR檔案除污 力抗滲透危害