【蒙騙電郵防護】Trickbot BazarBackdoor 三招升級隱身能力
黑客為了避過電郵防護系統攔截,花招百出。最新方法是以多個壓縮檔及混淆化 (obfuscated) 含有下載惡意負載功能的 JavaScript,令防護系統誤會是正常電郵而放行,最終在電腦內安裝 BazarBackdoor 後門程式,企業一旦受感染,黑客就可在內部網絡為所欲為。
網絡安全公司 Cofense 警告,木馬程式 Trickbot 開發者又再利用新方法,提高 BazarBackdoor 惡意軟件避開電郵防護軟件攔截的成功率,而且手法更非常迂迴及複雜。Cofense 專家指出,他們是於今年 6 月 5 日世界環境日捕獲這次新攻擊。黑客在當時向不同企業發出有關世界環境日的釣魚電郵,內裡含有兩個分別為 ZIP 及 RAR 的壓縮檔,打開後各有一個 JavaScript 檔案,它的作用是進一步引入 Trickbot 的 BazarBackdoor 惡意軟件。
專家解釋,如果直接將惡意軟件假扮成其他文件檔案,極容易被一般電郵防護系統識別,無法到達用家的電郵信箱,因此黑客便採用迂迴的手段,例如像今次個案般藏入壓縮檔內。由於部分電郵防護軟件不會解讀多重壓縮檔內的資料,因此如黑客將惡意軟件經多次壓縮,便有可能避過檢測。此外,混淆化惡意 JavaScript 同樣令防毒軟件難以分析看似亂碼的程式碼內容,因此亦可提高入侵成功率。
Trickbot 的精密攻擊到此仍未停止,Cofense 專家說經由 JavaScript 引入的 BazarBackdoor 並非以執行檔格式進入,而是被偽裝成 PNG 格式圖案,在進入後再被執行,並進一步引入業界常用於滲透測試的工具 Cobalt Strike,從而合法地在內部網絡進行各種攻擊,例如盜取機密資料、執行勒索軟件等等,因此企業如果單靠一般電郵防護系統,便未必能阻止黑客入侵,必須採用能夠對壓縮檔進行深層解讀的產品,才可阻擋這類攻擊。