網路在現代人的生活中佔有相當重要的地位,但有人的地方就有江湖,隨之而來的各種網路攻擊在網路上滋長,對大家都帶來不少困擾與威脅。根據對真實世界網路攻擊和數百萬台電腦上收集的數據分析,ZIP 與 RAR 已經超越 Office 文件成為網路犯罪份子最常用於傳遞惡意軟體的檔案類型。
這些檔案類型最常被駭客用來隱藏惡意軟體
根據 HP Wolf Security 的客戶數據分析,在 2022 年 7 至 9 月間,有 42% 的惡意軟體以檔案格式進行攻擊,包括 ZIP 與 RAR。這表示試圖利用如 ZIP 與 RAR 等壓縮格式的網路攻擊比那些試圖利用 Microsoft Offfice 文件(Microsoft Word、Microsoft Excel 等)傳遞的網路攻擊更為常見,這也是三年多來,壓縮檔格式首度超過 Office 檔案。
透過加密壓縮將惡意檔案隱藏其中,為攻擊者提供了一種繞過許多安全保護措施的途徑。在經過加密壓縮後的惡意軟體,可以逃避網路代理、沙盒與電子郵件掃描程式,使得攻擊難以被檢測出來,尤其是與 HTML 技術相結合,更是難以被揪出來。在許多情況下,攻擊者網路用看起來像是來自知名品牌和線上服務提供者的釣魚電子郵件,試圖誘騙使用者開並運行惡意的 ZIP 和 RAR 檔。
根據 HP Wolf Security 的分析,現在依賴 ZIP 和惡意 HTML 檔中最臭名昭著的惡意軟體活動之一是Qakbot,這是一個惡意軟體家族,不僅用於竊取數據,還用作部署勒索軟體的後門。Qakbot 在 9 月重出江湖,透過電子郵件發送惡意訊息,聲稱需要打開的線上文件有關。如果運行該檔案,它會將惡意指令以動態連結庫的形式下載和執行有效負載,然後在 Windows 中使用合法但經常被濫用的工具啟動。
不久之後,散播 IcedID(一種為了啟用動手、人為操作的勒索軟體攻擊而安裝的惡意軟體)的網路犯罪份子開始使用與 Qakbot 幾乎相同的範本濫用壓縮檔以誘騙受害者下載惡意軟體。這兩個惡意活動都努力確保電子郵件和虛假 HTML 頁面看起來合法以欺騙盡可能多的受害者。這包括在偽裝成 PDF 文件的電子郵件中使用惡意 HTML 檔,一但運行則會顯示一個偽造的在線文件查看器,該查看器可以解碼 ZIP 存檔,如果用戶下載了它,它將用惡意軟體感染用戶。
另外還有勒索軟體組織以這種方式濫用 ZIP 和 RAR 檔。根據 HP Wolf Security 的說法,Magniber 勒索軟體組織針對家庭用戶傳播的活動,其攻擊方式是加密檔案並向受害者索要 2,500 美元的贖金。在這種情況下,感染始於從攻擊者控制的網站下載,該網站要求使用者下載包含 JavaScript 的 ZIP 壓縮檔,該文件聲稱是重要的防毒或 Windows 10 軟體更新。如果你輕信後運行並執行,它會下載並安裝勒索軟體。
在最新的 Magniber 活動之前,勒索軟體是透過 MSI 和 EXE 檔傳播,但與其他網路犯罪集團一樣,他們已經注意到透過提供隱藏在壓縮檔中的有效負載以實現成功感染。網路犯罪分子不斷改變他們的攻擊方式,網路釣魚仍然是傳遞惡意軟體的關鍵方法之一,因為通常很難檢測電子郵件或檔案是否無害,這裡只能提醒大家看到開啟連結和下載附件的要求時請務必保持謹慎,尤其是來自意外或未知來源,更要提高警覺。