2017年Data Breach Investigations Report報告顯示:66%的惡意軟體通過郵件附件方式進行感染, 竊取商業機密、中斷業務、破壞聲譽。 近年來以勒索軟體為代表的郵件安全問題來勢洶洶, 電腦病毒較往年安全事件的占比增長速度之快, 難以想像, 電腦病毒的傳播途徑除了網站登錄, 三方軟體安裝等這些的途徑之外, 郵件攜帶也是一個主要傳播途徑, 近期綠盟科技安全顧問就通過一封郵件及時發現並阻止某企業檔案伺服器惡意宏代碼事件的蔓延。
事件還原
綠盟科技技術人員在接收某企業用戶日常郵件過程中, 部署在綠盟科技網路出口的威脅分析系統(TAC-E)發出郵件隔離告警, 提示客戶郵件附件中存在惡意巨集代碼, 通過威脅分析系統提取附件文檔分析, 使用olevba工具驗證了壓縮包中幾個文檔存在惡意宏代碼。
威脅分析報告
巨集病毒會感染DOT範本檔, 惡意檔感染Normal Template範本, 如果打開其他活動文檔, 會將本身代碼進行複製到活動文檔來感染。
摘錄的樣本代碼可以看到以下一段感染代碼, Word巨集病毒一般都首先隱藏在一個指定的Word文檔中, 一旦打開這個文檔, 巨集病毒被執行, 巨集病毒要做的第一件事就是將自己拷貝至全域巨集區域, 使得所有打開的文檔都可以使用這個巨集, 全域巨集將被存儲在某個全域的範本文檔(.dot)中, 如果全域巨集範本被感染, 則Word再啟動的時候將自動載入巨集病毒並且自動執行。
原因構成分析
綠盟科技技術人員前往現場處置時發現該文檔出自於某重要檔案伺服器,
1.企業網路出口部署了防火牆、IDS、IPS、WAF、郵件安全閘道來建構其核心檢測能力, 這些產品依靠已知攻擊特徵碼進行模式匹配來檢測已知的網路攻擊, 在一些特定情況下, 針對新的未知攻擊沒有招架之力;
2.企業辦公終端統一安裝國外某品牌殺毒軟體, 文檔使用過程中未產生過告警, 通過上傳Virus total平臺發現該品牌殺毒引擎未能檢測出該惡意程式碼檔;
3.Linux的招投標伺服器未安裝殺毒軟體。
防護思路
在下一代威脅背景下, 我們發現基於簽名的檢測方式有很多不足, 並不能防止重大網路危害的發生, 惡意樣本數量的急劇增加, 而防病毒簽名匹配引擎在性能上無法承受,
同時可以通過綠盟下一代威脅防禦解決方案(簡稱NGTP)全面有效的對APT威脅檢測和防禦。 網路、Web、郵件和終端等, 都是APT威脅可能利用的通道, NGTP解決方案, 不僅在網路邊界進檢測和防禦, 還在企業內網, 郵件伺服器, 終端等多個層面進行檢測和防禦。 利用本地沙箱和雲端安全信譽, 有效地對APT威脅檢測和防禦。 既能夠即時進行檢測和阻斷, 還利用大資料分析平臺, 進行事後的分析和調查。
總結
2017年底,由公安部牽頭,會同工信部和國家保密局在全國部署開展了黨政機關、事業單位和國有企業互聯網電子郵件系統安全專項整治行動。綠盟科技的完善的郵件安全解決方案,可以滿足主管機構的指導安全要求,同時能夠幫助企業郵箱達到多重安全機制保障,穩定運行。
請點擊螢幕右上方“…”
關注綠盟科技公眾號
NSFOCUS-weixin
↑↑↑長按二維碼,下載綠盟雲APP
總結
2017年底,由公安部牽頭,會同工信部和國家保密局在全國部署開展了黨政機關、事業單位和國有企業互聯網電子郵件系統安全專項整治行動。綠盟科技的完善的郵件安全解決方案,可以滿足主管機構的指導安全要求,同時能夠幫助企業郵箱達到多重安全機制保障,穩定運行。
請點擊螢幕右上方“…”
關注綠盟科技公眾號
NSFOCUS-weixin
↑↑↑長按二維碼,下載綠盟雲APP