遠端木馬程式藉郵件Office文件巨集散布,臺灣、南韓皆傳受害

藉由Office文件的巨集來夾帶惡意程式已不是新鮮事了,這類型在APT攻擊行動環節中經常扮演關鍵角色,時至今日仍是多數駭客常用手法。

微軟為了讓用戶在Office文件中可以加入更多文件操作功能而加入VBA巨集方便具有開發能力的用戶方便使用此功能來強化文件多方自動化功能,然此也讓駭客得以拿來運用裝載滲透工具的程式碼,近十年來多數APT攻擊行動在電子郵件夾帶Office或PDF文件,只要穿透受害機關單位閘道安全防護設施的檢查與最後一道防線-防毒軟體的偵測,當這些安全檢查偵測技術皆失靈時,將滲透到機關單位內部電腦釋放下載器下載惡意程式或直接植入惡意程式,然後回報惡意中繼站通知駭客已成功滲透進入內部等待駭客進一步命令。然當駭客成功滲透金入內網電腦到成功竊取文件仍需耗費一段時間(探索內網找到儲存重要文件的位置所在,然後竊取文件並往外傳送),此時若能於內部端點多一道防線以行為檢測來偵蒐惡意攻擊行為之惡意程序,並予以有效狙擊獵殺或發出告警,將可避免爾後重要文件遭竊之嚴重資安事件發生。

在今年年初國外資安廠商所釋出的資安趨勢報告中也發現近幾年來運用LOL技術來進行攻擊也逐漸升溫,尤其使用作業系統所提供之powershell來攻擊受害用戶端讓傳統資安防禦完全失能讓資安管理人員最為頭疼。然這類要穿透防護網滲透進入內部仍須用戶最後的疏失點擊文件方可成功,因此所有人員仍須提升基本資安意識來避免一般的攻擊成功之機率,然而面對精心設計的APT郵件則仍須不斷地強化閘道資安基礎設施與用戶端點安全防護能量方能將這類攻擊成功機率降低與及早發現惡意程式滲透跡象。

 

詳文請見ithome 原文新聞稿