文章來源：Ethan Lin / CISSP, OPSWAT 大中華區業務總監

現今的攻擊方式五花八門，如果是政府單位或是高科技產業，更是被針對性攻擊的目標之一。企業依靠舊有的資安防禦策略，例如：單個防毒引擎。往往無法有效防禦未知的各種惡意程式攻擊，原因為防毒引擎是基於檢測的方式來進行防禦，若防毒廠商沒有即時更新病毒碼，一旦有漏洞未修補，反而會成為敵方突破口，造成全面潰敗！

像是近年駭客的攻擊手法中，就常利用網頁檔案下載與郵件附檔寄送的方式，藉此發動APT、勒索攻擊。但是讀者可能會發現，防毒軟體對於這類新興的勒索病毒攻擊往往無法得到很好的效果，原因是因為病毒碼的更新必定落後於攻擊手法的創新。我們已經開始相信零時差攻擊是無法防禦了，但事實真的是如此嗎？

筆者閱讀了唐任威老師的專文：Emotet病毒惡意文件分析實例
https://www.uuu.com.tw/Public/content/article/21/20210308.htm

發現大部分的攻擊，都是透過電子郵件，夾帶office檔案，並於office檔案中置入巨集，誘使受害者執行後造成感染。我們依唐老師提供的病毒碼樣本hash值，傳入OPSWAT MetaDefender Cloud資安分析平台，可以得到詳細的資訊：

其結果可以在圖上看到，OPSWAT MetaDefender提供的37個防毒引擎中，有21個找到有毒。但問題是，這是2020年10月就發現的病毒，一直到今天2021年6月，還是有16家防毒引擎無法偵測，更不用說是對應零時差0-day攻擊了。可見以傳統的防毒技術，是無法對應現今的攻擊手法的。

既然傳統的偵測手段的無法解決問題 (請注意，常見的沙箱Sandbox分析，屬於動態偵測，也是偵測手段的一種)，OPSWAT提出了檔案清洗，或稱檔案無害化的技術，能將檔案內具有可能潛在威脅的「功能」，以零信任的方式直接分離，代替傳統的特徵比對。舉例來說，有些PDF檔案本身會包含JavaScript，有些Office文件會包含巨集、Flash或OLE物件（檔案內嵌檔案），都是CDR技術可清除的對象。其中的原理非常簡單，只要檔案不具備執行的能力，就不會造成感染。

檔案清洗，或稱檔案無害化，是對應勒索病毒攻擊最有效的解決方案，因為這是近年常被駭客利用的管道，讓看似無害的文件類型檔案，也能化身為發動網路攻擊的利器，有心人士可以透過各式嵌入惡意程式碼的手法，藉此讓用戶在開啟文件後，執行下載惡意程式的動作等行為，或是把各種可執行的腳本程序嵌在檔案中，而能趁機利用主機未修補的漏洞等，來間接產生傷害。

簡而且之，CDR這項技術其實並不是要偵測出惡意內容，而是直接將這些可執行、有疑慮的元件失去作用，日本常說無害化，也就是不論惡意或非惡意的程式碼，通通要清除，無法造成感染，以做到更徹底的保護。