新型网络攻击 旧木马新封装绕过防毒机制侦测

有别于传统的攻击方式，新型态网络攻击手法发展日益趋向复杂化与细致化，并且转为利益导向的攻击。为了入侵企业，黑客发动的攻击透过多种攻击手法与漏洞的搭配运行来躲避防御机制侦查。新型态攻击运用的并非都是新技术，只要将现有的攻击工具、手法稍加改变，就有可能巧妙绕过侦查机制，突破企业的第一道防线。

最近，中华数码便拦截到以「新瓶装旧酒」的手法，将旧的木马重新封装，成功穿透防毒软件的案例。

在拦截到的当下研究人员将恶意程序上传到 VirusTotal 做检测，发现 VirusTotal 上50余种防毒软件皆无法拦截，因此进一步分析其攻击手法与恶意程序。

黑客透过递送一封正式的商务往来信件，询问商品库存与报价的信息，并要求收信人参阅附件数据来提供报价。若收信人未察觉异状，误认商机上门而开启附件 inquiry.doc ，这时Word会跳出安全警告主动停用巨集，若收件者依旧大意继续点击开启，在巨集被启用后便会开启封装内容，将恶意程序主体储存下来并自动执行。除了社交工程手法，这个攻击也运用了CVE漏洞攻击，只要在特定环境下点开inquiry.doc 档便会自动执行巨集安装后门程序，直接跳过前述 Word主动停用巨集与安全警告的步骤。

幸好，这封邮件被中华数码进阶防御机制拦下。中华数码与ASRC研究人员进一步分析这封信中的恶意程序，程序原始名为 Polyphagist.exe。透过沙箱执行恶意程序发现，内部藏有两支可独立执行的程序(SurveillanceEx Plugin和ClientPlugin.dll)，这两支恶意程序早在2014年便被发现，在VirusTotal上被定义为NanoCore 已知远程控制木马，能够让攻击者在线上监视受害者的一举一动。黑客将旧的木马程序重新封装，让已知病毒成了未知威胁，成功躲过防毒机制的侦测。

这种想方设法规避防御机制侦测的攻击案例层出不穷，想要阻挡这类复杂、多变、不易归纳固定模式的攻击，光靠单一防御机制已不足以应付，面对不同的攻击手法，应采取不同的防御技术，才能降低被入侵的风险。

SPAM SQR 结合McAfee ATD，联合防御复杂多变的新型态攻击

SPAM SQR于威胁防御领域不断的研究精进，整合多种分析引擎、数据库及强化机制，以多层式的运行过滤方式，对抗恶意威胁邮件的入侵。为提供企业更安全的环境，将防御过滤机制与McAfee ATD动态沙箱整合，提供企业动静兼备的安全防护，抵御已知与未知的威胁。

静态特徵结合动态沙箱分析，防护更全面

SPAM SQR的多层式过滤技术，结合了防毒特徵码、恶意网址数据库、行为模拟防御、深层程序码静态特徵扫描及动态沙箱等分析。可先行分类垃圾邮件及可疑威胁邮件，再将特定格式附档拆离传送至沙箱进行比对，于虚拟平台进行程序分析。透过深度模拟和沙箱分析，将信息揭露并回传至SPAM SQR，结果统一整合于SPAM SQR，风险一目了然且更易于追踪管理。

SPAM SQR ADM 与McAfee ATD联防特色

具有良好的分析速度，分类扫描节省资源消耗。动静态交叉分析，增加入侵的困难。单一系统整合报表，风险一目了然。