[資安小常識] 慎防來路不明的捷徑圖示(LNK),你不能不知的新攻擊手法!
在近期的安全事件追蹤中,微軟發現了駭客透過蓄意偽造之惡意連結圖示(LNK),導致使用者電腦遭感染後自動下載木馬等相關攻擊程序感染之手法;在持續追蹤中,繼 Stuxnet、眾多的 .LNK惡意程式等之後,在近期又出現影響層面最為廣泛且破壞性最高的 Sality引起Microsoft 惡意程式碼防護中心 (Microsoft Malware Protection Center,MMPC),以及其他 MAPP (Microsoft Active Protection Program) 計畫夥伴高度關切;這些惡意程式從原先透過USB等外接設備對使用者進行感染之外,也透過多種其他管道譬如混雜在影音,壓縮檔案中誘騙使用者點選導致觸發感染程序.
針對這些相關攻擊行為,微軟已經在2010年8月2日公佈了 CVE-2010-2568 (於 Microsoft 知識庫文件編號 (2286198) 中說明) 的非例行性更新解決辦法發佈計畫。Microsoft 惡意程式碼防護中心 (Microsoft Malware Protection Center,MMPC),以及其他 MAPP (Microsoft Active Protection Program) 計畫夥伴一直在密切注意這個利用此風險進行惡意攻擊的 .LNK 檔案。正如許多新的攻擊技術,後起的攻擊者都可以快速地將新的技術整合在一起。雖然已有許多種病毒都使用這種傳播方式,但是在本週,其中一種叫做 Sality 的病毒特別引起了我們的注意,尤其是 Sality.AT。Sality 是一種具有高度破壞性的病毒;目前已知此種病毒會感染其他檔案 (感染後即完全移除)、自行複製至卸除式媒體、停用安全防護功能,然後下載其他惡意程式。同時,這也是一種非常大型的病毒種類,可以說是今年最廣泛的種類之一。加入 .LNK 的傳播方式後,受到惡意 .LNK 和 Sality.AT 結合病毒攻擊的電腦數目很快就超過了受到 Stuxnet 病毒攻擊的電腦數目。不久之後,一定會有更多病毒種類利用這種技術方式進行散佈傳播。下列 *圖表可以說明這個趨勢:
這些數字顯示出我們保護的系統 (Microsoft Security Essentials、Microsoft Forefront Client Security、Windows Live OneCare、Forefront Threat Management Gateway 以及 Windows Live Safety Platform) 中遭受的感染攻擊次數 (Infection Attempt)。雖然這些數字並不代表實際的病毒感染數量,卻也警告了我們威脅有擴大的趨勢。
而病毒攻擊的地理位置 (Geolocation) 變更,也是其他病毒種類開始利用這個風險的另一個警訊。在發現 Stuxnet 的初期,巴西 (Brazil) 僅有少數病毒攻擊的案例;但是在 CVE-2010-2568 病毒攻擊的地理位置分析報告中顯示,巴西及其他國家 (Others) 現在也出現了更多病毒活動。在巴西,更是不斷地有 Sality 的攻擊案例。
目前Microsoft Security Essentials、Microsoft Forefront、Windows Live OneCare、以及 Windows Live Safety Platform 的使用者均可以有效攔阻/過濾這些惡意程序。另外在本月釋出的MSRT中也已經針對下列惡意程序進行清除程序:
- Win32/Stuxnet
- Win32/CplLnk
- Worm:Win32/Vobfus.gen!A
- Worm:Win32/Vobfus.gen!B
- Worm:Win32/Vobfus.gen!C
- Worm:Win32/Vobfus!dll
- Worm:Win32/Sality.AU
- Virus:Win32/Sality.AU
- TrojanDropper:Win32/Sality.AU
提醒使用者除了盡快完成安全性更新程序之外,還可以透過以下的鏈結下載微軟惡意軟體移除工具(MSRT)進行掃描與清除,以維護您電腦使用時的安全性。
https://www.microsoft.com/taiwan/security/malwareremove/default.mspx
https://www.microsoft.com/taiwan/security/malwareremove/families.mspx