在2024年底,北韓駭客組織APT37被揭露運用隱寫技術,將惡意程式RoKRAT藏入JPEG圖檔,再偽裝成無害郵件附件散布。這類影像檔在傳統防毒掃描中不易呈現異常,攻擊者並結合PowerShell指令與Dropbox、Yandex等雲端服務外洩,使入侵流程難察覺。
此案例凸顯隱寫攻擊對供應鏈安全的衝擊。根據卡巴斯基(Kaspersky)2024年安全報告,50%的隱寫攻擊目標為工業組織。當惡意內容被藏入圖片、PDF或常見檔案的位元層,肉眼與防毒軟體都難以辨識;若檔案來自供應商或軟體更新伺服器,既有信任關係便可能成為擴散通道。許多組織能辨識已知病毒特徵,卻缺乏能力深入檢查影像、PDF、串流媒體或壓縮檔中的異常元素。
Sonatype報告指出,2024年已發現超過512,847個惡意套件,年增156%;發現、通報與修補之間的時間差,足以讓隱寫攻擊持續滲透。
面對此類威脅,傳統防毒採取偵測、隔離、刪除的被動流程,難以應付未知攻擊。檔案無毒化(CDR)則採取預設不信任的邏輯,將所有進入企業環境的檔案視為潛在風險,透過分解、清理與重建降低攻擊面。CDR會拆解檔案結構、移除元資料並檢查內嵌物件;清理階段則移除不符合檔案格式規範的內容,包括隱寫負載、執行腳本、異常表頭與附加殼層。只要內容超出標準檔案結構,即使尚未出現在威脅情報資料庫中,也會被剔除。最後,系統再將安全內容組合成新檔案,保留功能並降低潛藏威脅。
Verizon 2025年資料外洩調查報告(DBIR)指出,第三方入侵已占所有資料外洩事件30%。BlackBerry 2024年調查亦顯示,超過75%的組織在過去一年曾遭遇軟體供應鏈攻擊。對高價值產業而言,CDR應被視為檔案進入企業前的淨化閘門。IBM 2025年資料外洩成本報告指出,供應鏈攻擊平均成本已達444萬美元。企業若能在檔案層建立前置防禦,較有機會降低攻擊進入核心環境的機率。只要檔案能被拆解為可驗證的安全成分並重新生成,潛藏威脅便能在進入業務流程前被移除,這也是供應鏈檔案安全走向主動治理的重要方向。
<本文作者:施昱志現為OPSWAT北亞區技術總監>