零信任解決方案:深度CDR檔案清洗如何有效防禦零時差勒索病毒攻擊

By 2021-06-21電子報專刊

文章來源:Ethan Lin / CISSP, OPSWAT 大中華區業務總監

現今的攻擊方式五花八門,如果是政府單位或是高科技產業,更是被針對性攻擊的目標之一。企業依靠舊有的資安防禦策略,例如:單個防毒引擎。往往無法有效防禦未知的各種惡意程式攻擊,原因為防毒引擎是基於檢測的方式來進行防禦,若防毒廠商沒有即時更新病毒碼,一旦有漏洞未修補,反而會成為敵方突破口,造成全面潰敗!像是近年駭客的攻擊手法中,就常利用網頁檔案下載與郵件附檔寄送的方式,藉此發動APT、勒索攻擊。但是讀者可能會發現,防毒軟體對於這類新興的勒索病毒攻擊往往無法得到很好的效果,原因是因為病毒碼的更新必定落後於攻擊手法的創新。我們已經開始相信零時差攻擊是無法防禦了,但事實真的是如此嗎?

筆者閱讀了唐任威老師的專文:Emotet病毒惡意文件分析實例
https://www.uuu.com.tw/Public/content/article/21/20210308.htm

發現大部分的攻擊,都是透過電子郵件,夾帶office檔案,並於office檔案中置入巨集,誘使受害者執行後造成感染。我們依唐老師提供的病毒碼樣本hash值,傳入OPSWAT MetaDefender Cloud資安分析平台,可以得到詳細的資訊:

其結果可以在圖上看到,OPSWAT MetaDefender提供的37個防毒引擎中,有21個找到有毒。但問題是,這是2020年10月就發現的病毒,一直到今天2021年6月,還是有16家防毒引擎無法偵測,更不用說是對應零時差0-day攻擊了。可見以傳統的防毒技術,是無法對應現今的攻擊手法的。

既然傳統的偵測手段的無法解決問題 (請注意,常見的沙箱Sandbox分析,屬於動態偵測,也是偵測手段的一種),OPSWAT提出了檔案清洗,或稱檔案無害化的技術,能將檔案內具有可能潛在威脅的「功能」,以零信任的方式直接分離,代替傳統的特徵比對。舉例來說,有些PDF檔案本身會包含JavaScript,有些Office文件會包含巨集、Flash或OLE物件(檔案內嵌檔案),都是CDR技術可清除的對象。其中的原理非常簡單,只要檔案不具備執行的能力,就不會造成感染。

檔案清洗,或稱檔案無害化,是對應勒索病毒攻擊最有效的解決方案,因為這是近年常被駭客利用的管道,讓看似無害的文件類型檔案,也能化身為發動網路攻擊的利器,有心人士可以透過各式嵌入惡意程式碼的手法,藉此讓用戶在開啟文件後,執行下載惡意程式的動作等行為,或是把各種可執行的腳本程序嵌在檔案中,而能趁機利用主機未修補的漏洞等,來間接產生傷害。

簡而且之,CDR這項技術其實並不是要偵測出惡意內容,而是直接將這些可執行、有疑慮的元件失去作用,日本常說無害化,也就是不論惡意或非惡意的程式碼,通通要清除,無法造成感染,以做到更徹底的保護。