面對勒索軟體的出現,且主要透過郵件散佈,專精於垃圾郵件過濾的中華數位,自然無法避免接收到來自客戶需求聲浪。中華數位產品策略處產品經理高銘鐘指出,雖然Spam SQR內建的是第三方防毒引擎,但畢竟是由中華數位整合提供的解決方案,難免會受到客戶抱怨,因此才發展出輔助防毒軟體的機制,也就是自家既有的Virus SQR防毒模組,以及新提出的進階防禦模組(Advanced Defense Module,ADM),補強特徵碼比對技術無法偵測發現的新型態攻擊。
過去防堵垃圾郵件研究的範疇較著重於無差別攻擊病毒,而ADM則是專門為了匯款詐騙、針對性的魚叉式與APT攻擊所設計,主要防範的是未知型威脅。高銘鐘觀察,近年來客戶常見的問題莫過於已經選購了中華數位防毒模組,為什麼仍舊無法攔阻進階式攻擊?主要因素即在於攻擊型態本質上不同,採用單一技術根本無法抵擋所有滲透行為。透過ADM,可進一步介接第三方沙箱(Sandbox)技術,或威脅情報交流平台,豐富入侵指標資料庫的內容,以便即時辨識變化多端的攻擊行為。
|
▲ 中華數位產品策略處產品經理高銘鐘認為,面對外部威脅多樣化,廠商若單打獨鬥或情報不足的狀況下,難免會遭遇瓶頸,因此彙整情報、進而建立交流管道,分享不同領域蒐集取得的資訊,才能提升資安產業的防禦力。 |
就勒索軟體為例,最常見且有效的攻擊模式為透過JavaScript檔案,但其實「.js」檔案本身是下載工具(Downloader),不具備加密功能,主要任務是先執行滲透入侵終端用戶系統,並且確保可再次被執行,接著才會啟動下載功能,取回加密勒索軟體;並且在檔案開始執行加密時,必須再連線回到中繼站下載金鑰。因此欲防範JavaScript攻擊,必須在活動執行過程中的關鍵環節建立攔阻機制,首要是阻擋惡意.js檔案進入系統,以免觸發執行;其次是在勒索軟體連線至中繼站下載金鑰的初始,就得以發現並加以攔阻。
不論犯罪者的手法如何變換,最終仍舊會執行勒索程式與加密金鑰的下載。但終端用戶通常無法理解病毒感染原理,必須由資安專家、服務供應商具體指出防範的作法,例如停止並關閉Windows系統內建的WSH(Windows Script Host)服務,以避免執行檔案來防範。
但是犯罪者同樣也會學習,再次發動攻擊時即可設計迴避機制,例如直接發送.mht檔案,不需透過WSH,而是瀏覽器直接開啟執行下載,此時即可採用Content SQR上網行為控管機制,藉此基於黑名單資料庫偵測得知危險連線行為,阻止勒索程式與加密金鑰的下載。