隨著遠距辦公(WFA)普及,VPN 已成為企業標配,卻也成為駭客目標。近期出現新型 FileFix 釣魚攻擊,駭客偽造 Fortinet VPN 合規檢查網頁,引誘使用者 將帶有惡意指令的偽裝路徑貼入「檔案總管」執行。
FileFix 攻擊核心手法:
● 快取走私 (Cache Smuggling):將惡意程式偽裝成圖片存入瀏覽器快取。
● 路徑掩飾:利用大量空白隱藏執行指令,讓下載連結看起來像正常文件。
● 避開監測:不直接點擊下載,而是引導使用者手動貼上指令,規避傳統偵測。
如何預防?
1、嚴格審核下載來源網址
2、將複製內容貼至記事本檢查隱藏指令
3、定期進行員工資安意識培訓。
自2020年新冠肺炎後,work from anywhere已成為許多公司的常態,員工不再受限於辦公室才能完成任務,只要能存取公司系統,無論在哪工作都不再是個問題,但值得注意的是,若員工在外使用公共網路時,也伴隨高度資安風險。如果未經保護就直接登入公司平台,敏感資訊可能被攔截或外流,然而,為了降低這些風險,VPN成為企業遠端工作的核心安全工具。
一、VPN的功能是什麼?
VPN 的主要作用,是為企業與員工之間建立一條安全且加密的通道。當員工透過 VPN 連線公司系統時,傳輸過程中的資料都會經過加密,即使有不法人士試圖攔截,也只能看到難以破解的亂碼內容。
對企業而言,VPN 不僅提供連線能力,更具備權限控管功能,可依員工職務及需求,設定可存取的系統與資料,避免不必要的資訊外流。企業可依工作型態與使用情境,彈性選擇或同時佈署,以達到最佳效果。
此外,為確保連線終端具備足夠安全性,企業多會搭配 裝置合規檢查機制(Compliance Check)。此檢查能在允許登入前,確認使用者設備是否符合企業資安標準,例如作業系統是否更新、防毒軟體是否啟用、是否存在高風險程式等。透過這項檢查,可有效降低因設備漏洞或惡意軟體而造成入侵或感染的風險,進一步提升整體資安防護能力。
二、實際案例分享與解析
近期發現駭客會透過下載VPN合規檢查程式進行惡意攻擊,接下來進一步解析此案例。
駭客透過行銷活動寄送含有惡意程式下載的連接網址
駭客利用行銷活動推銷VPN產品,並製作假的下載FortientVPN檢查裝置程式(ForticlientCompliance.exe)網頁,引誘被害人上鉤。
畫面中可以看到共有三個步驟:
1. 複製程式下載的路徑。
2. 開啟檔案瀏覽器並開啟檔案路徑輸入方塊。
3. 將複製的程式下載路徑貼上檔案路徑輸入方塊執行。
駭客製作假的Fortinet VPN 網頁
將複製的程式下載路徑貼上檔案路徑輸入方塊執行
過程中沒有點擊下載及執行安裝的動作,所以被害者很容易放下戒心去執行,且複製的下載網址看起來也沒有什麼異常。
偽裝的下載連結,看到的與實際上執行的不同,帶有惡意指令
頁面上程式的路徑是“\\Public\Support\VPN\ForticlientCompliance.exe”,但實際將路徑貼上文字編輯器後所顯示的路徑含有其他的內容。駭客用了空格巧妙的掩飾夾帶的惡意內容的路徑,讓路徑看起來像是一個正常的文件路徑。實際上路徑中還包含了許多的執行指令,包括建立目錄、將瀏覽器的快取目錄內容複製到新建目錄裡、進入緩衝區擷取指定字段下載檔案、執行檔案等..一系列的惡意行為操作。執行完這些也意味著被害者的電腦已被植入惡意內容。
路徑含有其他執行程式的內容
駭客透過偽裝圖片格式檔案夾帶惡意程式
路經中被執行的惡意程式怎麼取得?其實在一開始點擊網頁的時候被駭客偽裝成圖片格式的檔案存到瀏覽器裡了。等待被害者將網頁的執行路徑貼上檔案路徑輸入方塊執行,就會開始一系列的惡意活動,讓被害者造成損失。
偽裝成圖片格式的檔案存到瀏覽器
流程圖:
三、如何預防FileFix釣魚攻擊發生?
● 確認行銷內容網頁真實性、網址是否正確?發送者的身分是否真實?
● 多一步確認,若從網頁上複製下來的資訊,可以貼到記事本上再確認一次複製貼上的內容與網頁上的是否一致,是否有多出來的指令碼。
● 檔案總管的地址列其實也是一個可以執行命令的地方,貼上去的執行內容需再確認是否異常,最好能避免在上面貼上指令執行。
● 定期員工資安訓練,舉辦模擬釣魚測試或請外部資安專家安排訓練課程 讓員工學習辨識釣魚攻擊。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com
參考資料:
2.https://expel.com/blog/cache-smuggling-when-a-picture-isnt-a-thousand-words/
3.https://x.com/P4nd3m1cb0y/status/1970796711816605782
