一個RTF文件就能把錢從您的銀行帳戶中偷走!

以色列資安公司Votiro的研究人員在4/12發表一篇研究指出:最近幾個月,他們注意到幾波新的Dridex銀行惡意程式攻擊,透過一個新的RTF Zero Day漏洞,成功的攻擊了數百萬個目標,受害者主要分布在澳大利亞。

Dridex惡意程式的主要目的是竊取受感染電腦上的用戶銀行資訊,並立即啟動欺詐性交易,透過安裝鍵盤側錄程式執行攻擊。該惡意程式在2015年期間所造成的金額損失,在英國估計有2,000萬英鎊、在美國為1,000萬美元。到了2015年,已經在20多個國家發現了Dridex的攻擊。在2016的年初,研究人員更發現此惡意程式開始將目標擴大到電子加密貨幣(Crypto-currency wallets)並已初步支援。

Dridex惡意程式內嵌了惡意的OLE物件在RTF/WORD中

Votiro的研究人員將收集到的樣本,透過Votiro的研究實驗室進行測試,認為這確實是一種新的攻擊方法,可以繞過現有絕大多數的安全防禦,包括沙箱技術(Sandbox)

Dridex embedded malicious OLE object

上圖就是一個利用CVE-2017-0199漏洞所設計的惡意文件樣本,從黃色標記中可見,此惡意程式利用OLE的特性能夠觸發一個遠端的執行檔,進而達到惡意攻擊的目的。

 

雖然微軟已於4/11釋出了針對這個Office臨時差漏洞的修補程式,但從發現漏洞到釋出修補程式,足足花了九個月才補好這個漏洞。

 

解決漏洞修補時間差(Patch Gap)的最佳方案

面對這類零時差攻擊的最佳解法是使用支援這類RTF/DOC和許多其他文件格式的先進的檔案內容淨化與重組技術(Content Disarm and Reconstruction, CDR)的解決方案來預先處理這類高風險且容易潛藏惡意程式的檔案,OLE物件會被仔細檢查、文件檔案整個重新構建過,消除了所有非標準的屬性、資料數值和OLE物件,而不需要任何特徵比對或機器學習的技術來判斷。

Votiro的研究人員將此樣本透過Votiro的先進的檔案內容淨化與重組技術(Content Disarm and Reconstruction, CDR)服務進行處理,在不到一秒鐘的時間,這個潛藏零時差攻擊的惡意文件馬上被處理完畢,並且沒有任何惡意程式存留在該文件中。

如果您想進一步瞭解Votiro的專利技術與運作機制,請與我們聯絡。

Posted in 新聞 and tagged , , , .