惡意程式到底如何進入?
Weaponized Documents:
  • 用來散佈惡意程式碼的檔案
  • 可以是任何有程式執行能力的檔案類別,包括URL link
  • Word, Excel, PPT, PDF, 各類型圖檔最常見
  • 主流的入侵方式(email, USB, 檔案交換)
  • 惡意攻擊的第一步,演變出各式入侵類型(勒索、木馬、挖礦、高權限…等

重大資安事案例


武器化文件關注度變化(2017-2019)


常見的文件嵌入惡意程式手法

基礎型:
Office類型(Word, Excel, PPT):
MACRO:用VBA、WMI、PowerShell寫的自動執行功能。
OLE:檔案內嵌檔案,把MACRO藏在第二層檔案中。

Flash類型:
把flash嵌在檔案中,利用flash的漏洞。

PDF類型:
JavaScript:產生許多不同的變化,例如:Base64編碼的JavaScript,加密過(RC4)的JavaScript,
嵌在header中,分散在多個pdf或物件中等等。
非JavaScript類:一般以使用Flash產生shellcode較常見。
把flash嵌在檔案中,利用flash的漏洞。

圖檔類型:
Steganography,圖像隱碼術(藏頭詩),一般藏在header或多餘的payload中
(例如圖像只有100KB,但檔案有1MB大)。

進階型:
OLE:檔案夾檔案,有問題的是第二層後的檔案
ZIP:多層的ZIP
綜合:結合上類各式, Word夾PDF,再用ZIP打包多層

特徵比對技術無法處理的40%(潛伏的惡意威脅)



實例分析

惡意內容清除防禦系統
保護電子郵件、網頁瀏覽/下載、檔案伺服器傳輸、可攜式媒體,所有管道交換檔案之安全
可依據檔案類型、大小等條件設定組織政策
完整保留檔案原始可用性
補強特徵比對技術之缺口,有效防禦零時差威脅
輕鬆與既有資訊安全架構無縫整合

VOTIRO DISARMER完整防護各檔案流