Trong lĩnh vực an ninh mạng, các mối đe dọa tiếp tục phát triển, thúc đẩy nhu cầu về các cơ chế phòng thủ tiên tiến. Một trong những thay đổi như vậy trong các vectơ tấn công liên quan đến việc sử dụng các tệp văn phòng không có macro, như đã được chứng minh trong sự cố "meme4chan" được báo cáo bởi Securonix Threat Labs, công ty đã khai thác lỗ hổng CVE-2022-30190 Follina — thay vì macro để vũ khí hóa tài liệu và bỏ tập lệnh Power Shell bị xáo trộn, và chủ yếu nhắm vào các công ty sản xuất, khách sạn, chăm sóc sức khỏe và các thực thể kinh doanh khác ở Đức.
Ngay cả khi các mối đe dọa đã phát triển theo thời gian, Deep CDR công nghệ vẫn cung cấp khả năng bảo vệ mạnh mẽ chống lại các cuộc tấn công tệp văn phòng không có macro này. Bài đăng trên blog này sẽ minh họa cách thực hiện.
Hiểu các mối đe dọa
Các sản phẩm của Microsoft hiện chặn macro theo mặc định để ngăn chặn các cuộc tấn công dựa trên macro. Tuy nhiên, động thái này đã dẫn đến một sự thay đổi chiến thuật, nơi những kẻ tấn công chuyển sang các kỹ thuật dựa trên khai thác lỗ hổng zero-day để thực hiện ý định độc hại của chúng, khiến các tệp văn phòng được ngụy trang này trở thành một rủi ro đáng kể có thể xâm nhập vào mạng mà không bị phát hiện. Trong cuộc tấn công meme4chan, những kẻ tấn công trước tiên gửi một email lừa đảo với tệp đính kèm Office độc hại, khai thác lỗ hổng trong tệp Microsoft Office khi mở. Lỗ hổng bảo mật cho phép các đối tượng nhúng trong tệp thực thi mã PowerShell có chứa tải trọng độc hại. Điều này cuối cùng bỏ qua trình quét phần mềm độc hại, vô hiệu hóa Microsoft Defender và cuối cùng thực thi một sâu độc hại có tên XWorm.
Đối với các giải pháp bảo mật email thông thường, cuộc tấn công này là không thể phát hiện, vì nó không dựa vào macro, một phương thức tấn công nổi tiếng phổ biến. OPSWAT Email Security Giải pháp cung cấp các khả năng chính để giải quyết rủi ro và ngăn chặn các cuộc tấn công tương tự.
Deep Content Disarm and Reconstruction ( Deep CDR )
Deep CDR là một biện pháp đối phó mạnh mẽ . Đây là một công nghệ chủ động, phòng ngừa về cơ bản "giải trừ" mọi đối tượng hoạt động có hại trong một tệp bằng cách chia nhỏ tệp thành các thành phần và loại bỏ hoặc Làm sạch các thành phần có khả năng gây hại như đối tượng nhúng, tập lệnh và macro, cho dù chúng có phải là mối đe dọa đã biết hay không. Điều này đảm bảo rằng mọi nội dung độc hại bên trong tài liệu sẽ bị vô hiệu hóa trước khi có thể kích hoạt, ngăn chặn các mối đe dọa.
Sau khi nội dung hoạt động được xóa, Deep CDR xây dựng lại tệp theo định dạng ban đầu, duy trì khả năng sử dụng của tệp trong khi vẫn đảm bảo trạng thái bảo mật của tệp. Bằng cách Làm sạch mọi tệp, Deep CDR đảm bảo hoạt động kinh doanh diễn ra suôn sẻ mà không ảnh hưởng đến vấn đề bảo mật.
Những lợi thế của việc áp dụng Deep CDR TRONG MetaDefender Email Security Giải pháp
Hiệu quả của Deep CDR trong việc chống lại các tệp văn phòng không có macro độc hại có kết quả từ:
- Bảo vệ chủ động: Thay vì dựa vào các mẫu hoặc chữ ký đe dọa đã biết, Deep CDR vô hiệu hóa mọi nội dung đang hoạt động, vô hiệu hóa các mối đe dọa tiềm ẩn trước khi chúng có thể gây hại.
- Khả năng sử dụng được bảo toàn: Deep CDR xây dựng lại hoàn toàn các tệp tin cùng chức năng của chúng sau khi Làm sạch, đảm bảo tính liên tục của hoạt động kinh doanh không bị gián đoạn.
- Phạm vi bảo hiểm toàn diện: Deep CDR Làm sạch nhiều loại tệp khác nhau bao gồm các tệp lưu trữ được bảo vệ bằng mật khẩu – đây là một phương pháp phân phối phổ biến khác cho phần mềm độc hại .
Tóm lại, sự gia tăng các cuộc tấn công vào tệp văn phòng không có macro như meme4chan nhấn mạnh nhu cầu về các biện pháp bảo mật email chủ động và tiên tiến. Deep Content Disarm and Reconstruction ( Deep CDR ) là công nghệ phòng ngừa mối đe dọa tiên tiến trong OPSWAT 'S MetaDefender Email Security Giải pháp bảo vệ các tổ chức khỏi những kẻ tấn công sử dụng các lỗ hổng chưa xác định và Zero-Day bằng cách Làm sạch hơn 120 loại tệp và email khỏi nội dung hoạt động độc hại. Deep CDR đảm bảo rằng bảo mật email của tổ chức bạn được chuẩn bị để chống lại bối cảnh mối đe dọa an ninh mạng đang không ngừng thay đổi.
