最近,Softnext守内安便拦截到以「新瓶装旧酒」的手法,将旧的木马重新封装,成功穿透防病毒软件的案例。
在拦截到的当下研究人员将恶意软件上传到VirusTotal 做检测,发现VirusTotal上五十余种防病毒软件皆无法拦截,因此进一步分析其攻击手法与恶意软件:
黑客通过递送一封正式的商务往来信件,询问商品库存与报价的信息,并要求收信人参阅附件数据来提供报价。若收信人未察觉异状,误认商机上门而开启附件 inquiry.doc ,这时 Word 会跳出安全警告主动停用宏,若收件者依旧大意继续点击开启,在宏被启用后便会开启封装内容,将恶意软件主体储存下来并自动执行。除了社交工程手法,这个攻击也运用了CVE漏洞攻击,只要在特定环境下点开inquiry.doc 文件便会自动执行宏安装后门程序,直接跳过前述 Word主动停用宏与安全警告的步骤。
幸好,这封邮件被Softnext守内安高级防御机制拦下。Softnext守内安与 ASRC 研究人员进一步分析这封信中的恶意软件,程序原始名为 Polyphagist.exe。通过沙盒执行恶意软件发现,内部藏有两支可独立执行的程序(SurveillanceEx Plugin和ClientPlugin.dll),这两支恶意软件早在2014年便被发现,在VirusTotal上被定义为NanoCore 已知远程控制木马,能够让攻击者在远程监视受害者的一举一动。黑客将旧的木马程序重新封装,让已知病毒成了未知威胁,成功躲过防毒机制的侦测。
这种想方设法规避防御机制侦测的攻击案例层出不穷,想要阻挡这类复杂、多变、不易归纳固定模式的攻击,光靠单一防御机制已不足以应付,面对不同的攻击手法,应采取不同的防御技术,才能降低被入侵的风险。
HMDS 结合McAfee ATD,联合防御复杂多变的新型态攻击
HMDS于威胁防御领域不断的研究精进,整合多种分析引擎、数据库及强化机制,以多层式的运行过滤方式,对抗恶意威胁邮件的入侵。为提供企业更安全的环境,将防御过滤机制与McAfee ATD 动态沙盒整合,提供企业动静兼备的安全防护,抵御已知与未知的威胁。
静态特征结合动态沙盒分析,防护更全面
HMDS 的多层式过滤技术,结合了防毒特征码、恶意网址数据库、行为仿真防御、深层程序代码静态特征扫描及动态沙盒等分析。可先行分类垃圾邮件及可疑威胁邮件,再将特定格式附档拆离传送至沙盒进行比对,于虚拟平台进行程序分析。通过深度仿真和沙盒分析,将信息揭露并回传至HMDS,结果统一整合于HMDS,风险一目了然且更易于追踪管理。
HMDS ADM 与McAfee ATD联防特色
.具有良好的分析速度 - 分类扫瞄节省资源消耗
.动静态交叉分析 - 增加入侵的困难
.单一系统整合报表 - 风险一目了然
※关于Softnext 守内安:
作为大中华区的邮件安全市场领导者,已有四成福布斯十佳CEO企业选择的邮件安全管理应用--Softnext守内安,凭借在网络内容安全应用领域十多年的深入钻研,致力于邮件安全以及网络内容的风险管控,提供面向市场、面向客户的最新威胁防御的网络安全产品,到威胁防御与联合防御体系,并成功拓展到SaaS云端防御领域,转型云端安全防护服务商,为云计算服务商提供云端安全防御,加固安全纵横防御体系;同时,亦成为阿里云邮生态合作伙伴;秉承“服务?品质?值得信赖”的全新品牌理念,在FROST & SULLIVAN(全球知名市调公司)大中华区调研中,除了成为连续五年复合业绩成长率第一名的质优企业。
作为邮件风险管理和信息安全内控管理服务的专业研发厂商,Softnext守内安立于本土,深入的本土化耕耘,相继获颁【中国软件和信息技术服务业 最有价值品牌】和【品牌建设卓越团奖队】,邮件安全三剑客连续三年蝉联【上海市优秀软件产品奖】,并获得Frost & Sullivan授予【年度邮件内容安全服务提供商】的殊荣,并在品牌建设上,屡获软件和信息技术服务业【最有价值品牌奖】。