freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

黑客运用镜像文件躲避检查关卡,对各行业发动攻击
2020-05-11 17:01:32

近期不少客户询问关于附件文件夹带.ISO、.IMG等镜像文件的攻击行为。事实上,守内安与ASRC 研究中心在《2019 年第三季度电子邮件安全趋势报告》中,就已指出在 2019年第三季度观察到不少黑客利用 UDF 镜像文件附件作为攻击工具的案例:UDF 镜像文件原是用于光盘备份、刻录前缓存、大量复制光盘,其扩展名多为 .iso、.img等。由于这类镜像文件有其特定用途,部分防毒墙、防火墙、终端防病毒软件会忽略对这类格式文件的大小限制或其内容的检查,因此攻击者就利用此缺口,将病毒嵌在标准合法的 UDF 镜像文件内,以躲过各种检查关卡。再次提醒管理者要意识到镜像文件也可被用于攻击,并作安全部署考虑。

这类攻击几乎都与商业交易行为有关,涉及订单、发票、询价报价、交易通知,内容也十分本土化,亚洲地区发现的样本除了英语外,也有韩语、简繁体中文。攻击在2019年第四季度达到高峰,2020年第一季度整体数量降至前一季度的1/3,并且,除了.ISO、.IMG等常见的镜像文件格式被利用之外,我们也观察到有少量的.DAA格式镜像文件在外散播。

守内安与ASRC至今仍持续监控这类攻击。事实上.ISO、.IMG夹带恶意程序并不是什么新闻,长期以来一直都有,可以把它想成是一种压缩文件,类似zip中藏了恶意程序。因此,以.ISO文件来说,装Winrar的Windows会将他的图标显示为Winrar可支持的压缩文件 (Winrar预设关联.ISO文件),对于收到这种.ISO文件的收件人来说,可能会很自然地将它打开,并执行恶意程序。

守内安再次提醒企业小心留意,防御镜像文件攻击可以这么做:

  1. 取消隐藏扩展名,对镜像文件附件多加留意。

  2. 加强员工安全意识,对来路不明的邮件高度警惕。

  3. 使用邮件防御系统,提供员工相对安全的邮件使用环境。

目前守内安 SPAM SQR 已可防御这类镜像文件攻击

关联阅读

ASRC 2019 年第三季度电子邮件安全趋势报告

http://www.softnext.com.cn/news_main.html?pg=6&tag=cn1&nid=3

微软警告垃圾邮件传播恶意镜像文件,可能为攻击企业用户做准备

http://www.chinaemail.com.cn/blog/content/11349/

封面用图来源:摄图网

# 网络安全 # 镜像文件攻击
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者