【攻擊手法與惡意程式分析】
駭客透過遞送一封正式的商務往來信件，詢問商品庫存與報價的資訊，並要求收信人參閱附件資料來提供報價。若收信人未察覺異狀，誤認商機上門而開啟附件 inquiry.doc ，這時 Word 會跳出安全警告主動停用巨集，若收件者依舊大意繼續點擊開啟，在巨集被啟用後便會開啟封裝內容，將惡意程式主體儲存下來並自動執行。除了社交工程手法，這個攻擊也運用了CVE漏洞攻擊，只要在特定環境下點開inquiry.doc 檔便會自動執行巨集安裝後門程式，直接跳過前述 Word主動停用巨集與安全警告的步驟。幸好，這封郵件被中華數位進階防禦機制攔下。

中華數位與 ASRC 研究人員進一步分析這封信中的惡意程式，程式原始名為 Polyphagist.exe。透過沙箱執行惡意程式發現，內部藏有兩支可獨立執行的程式（SurveillanceEx Plugin和ClientPlugin.dll），這兩支惡意程式早在2014年便被發現，在VirusTotal上被定義為NanoCore 已知遠程控制木馬，能夠讓攻擊者在遠端監視受害者的一舉一動。駭客將舊的木馬程式重新封裝，讓已知病毒成了未知威脅，成功躲過防毒機制的偵測。

這種想方設法規避防禦機制偵測的攻擊案例層出不窮，想要阻擋這類複雜、多變、不易歸納固定模式的攻擊，光靠單一防禦機制已不足以應付，面對不同的攻擊手法，應採取不同的防禦技術，才能降低被入侵的風險。

【SPAM SQR 結合McAfee ATD，聯合防禦複雜多變的新型態攻擊】
SPAM SQR於威脅防禦領域不斷的研究精進，整合多種分析引擎、資料庫及強化機制，以多層式的運行過濾方式，對抗惡意威脅郵件的入侵。為提供企業更安全的環境，將防禦過濾機制與McAfee ATD 動態沙箱整合，提供企業動靜兼備的安全防護，抵禦已知與未知的威脅。

【靜態特徵結合動態沙箱分析，防護更全面】
SPAM SQR 的多層式過濾技術，結合了防毒特徵碼、惡意網址資料庫、行為模擬防禦、深層程式碼靜態特徵掃描及動態沙箱等分析。可先行分類垃圾郵件及可疑威脅郵件，再將特定格式附檔拆離傳送至沙箱進行比對，於虛擬平台進行程式分析。透過深度模擬和沙箱分析，將資訊揭露並回傳至SPAM SQR，結果統一整合於SPAM SQR，風險一目瞭然且更易於追蹤管理。

【SPAM SQR ADM 與McAfee ATD聯防特色】
．具有良好的分析速度 - 分類掃瞄節省資源消耗
．動靜態交叉分析 - 增加入侵的困難
．單一系統整合報表 - 風險一目瞭然

- 新聞稿有效日期，至2017/11/12為止

上一篇：紅帽與阿里雲攜手 運用開放原始碼技術帶來更高靈活性
下一篇：Hitachi Vantara推出全新商用Lumada軟體堆疊