圖片來源: 

微軟

微軟警告近日愈來愈多攻擊者,使用HTML挾帶(HTML smuggling)這種隱匿手法,躲過安全產品防堵以成功散布惡意程式。

HTML挾帶是利用HTML5和JavaScript的高度隱匿攻擊手法。攻擊者製作挾帶惡意JavaScript的HTML網頁,並傳送含有URL或附檔的釣魚信件,誘使用戶點選並開啟附件。主流瀏覽器解碼JavaScript、載入網頁,從網站下載惡意程式,並在用戶裝置上組合成惡意檔案,如銀行木馬或勒索軟體。

圖片來源_微軟

早在5月,俄國駭客組織Nobelium活動即使用HTML挾帶手法,但近日微軟發現更多案例。7月有2波電子郵件攻擊活動利用這手法,散布銀行木馬Mekotio及Ousaban,受害者分布巴西、墨西哥、祕魯、西班牙和葡萄牙。7月和9月分別有釣魚信件散布木馬AsyncRAT/NJRAT及Trickbot(如下圖所示)。此外,微軟發現到一個駭客組織利用HTML挾帶鎖定教育及健康產業,先駭入用戶電腦再散布Ryuk勒索軟體。

圖片來源_微軟

HTML挾帶手法是使用HTML5或JavaScript的合法功能,並且在網路防火牆後合成惡意檔案,而非從外部網域下載惡意執行檔,因此能躲過一般周界的安全產品,像是Web代理程式和電子郵件閘道的檢查,因這些產品只根據特徵和規則檢查可疑附件(如EXE、ZIP和DOCX)或流量,使其成為高度隱匿的攻擊手法。

微軟建議啟動端點安全規則,包括防止JavaScript、VBScript及未受信任的執行檔。此外,使用能掃瞄惡意連結、惡意附檔的電子郵件安全產品、防火牆及代理伺服器,避免任意連結外部網站及下載檔案,可以防堵這類攻擊手法。

不過HTML挾帶攻擊仍然需要使用者動作,點擊URL或郵件附檔。因此要防止這類攻擊,最根本方法是用戶提高警覺,不要隨意開啟陌生或不受信賴來源的電子郵件。

熱門新聞

Advertisement