接著來看另外一種
PDF
文件型
惡意程式的設備軌跡追蹤圖。圖五中
可以看到,整張圖中第一個產生的惡
意程式是
133
這是個可執行檔案,
由圖中可以發現
133
是由
a.exe
產生。再往前追蹤,
a.exe
卻是因為
PDF
的閱讀器
(
AcroRd32.exe)
所產
生,這就是一個典型的
PDF
文件類型
的攻擊方式。透過嵌入
PDF
檔案的攻
擊程式,攻擊存在弱點的
PDF
閱讀
器,被害者往往在不知不覺的情況下,
就被攻擊成功。
而其中的
a.exe
這個檔案,是開
啟有問題的
PDF
檔案之後產生,卻
沒有被辨識為惡意程式
(
紅色
)
是一個很容易被輕忽的問題,舉例來
說,使用者有時會發現,防毒軟體偵
測到病毒,並通知使用者已經把惡意
程式移除。但實際上很容易發現有惡
意程式清除不乾淨的問題,為何會如
此?
其實分析
a.exe
之後會發現,
a.exe
就是下載器
(
Downloader
Dropper)
a.exe
主要會做的事
情非常少,一是偵測自己是否在沙箱
的偵測環境,如果為真,惡意程式可
能就不進行任何動作。二是確認自己
不在沙箱的偵測範圍內的時候,下載
更多的惡意程式。這樣的方式正是現
在惡意程式為逃避惡意程式偵測技術
所發展的,首先透過不活動的方式躲
過沙箱分析技術,接著利用最少的程
式功能,只有下載其他惡意程式的功
能,所以可以有效閃避針對惡意程式
行為分析的技術。這樣看來
a.exe
乎對使用者沒有任何不良的行為,所
以不需要處理。這樣思考的結論肯定
是錯的,因為如果
a.exe
沒有被清除,
a.exe
就有機會持續下載更多惡意程
式,最後就會變成惡意程式始終移除
不乾淨的狀況。
圖四 網路檔案軌跡追蹤圖
(
Java 0 Day
攻擊
)
176
2015
技術論壇
雲端運算與資料中心
資料儲存與備份
BYOD
與資訊安全
網路技術與應用