面对邮件夹带的未知恶意软体不能再靠沙箱，必须拆解档案架构清洗

力悦资讯

电子邮件可说是人人都有，也是骇客攻击企业最主要的管道。今年（2017）在台北世贸国际会议中心举行的资安大会中，力悦资讯总经理彭国达表示，骇客会在钓鱼邮件中，夹带含有未知恶意软体的附件档案，躲过企业架设的层层防护措施，而这些措施仍然以档案特徵的比对为主，企业难以找出这种有问题的电子邮件。

彭国达引用SANS的调查资料，在2013年时，就有95%的攻击採用钓鱼邮件，而依据Symantec近几年来的网路安全威胁报告中，在2012到2015年间，这种手法快速成长了超过3倍之多。然而，企业若是想要透过端点防毒软体拦截邮件里夹带的恶意档案，Symantec前资安部门副主管Brian Dye在2014年时指出，当时防毒软体大概只有不到一半的比例能成功。

沙箱过滤有问题的附件档案效率不彰

但这并不代表企业对于电子邮件的防护尚未重视，事实上，许多企业可能建置了邮件闸道，甚至对于疑似有问题的恶意档案，还能透过沙箱再次检查。不过，由于在这些防护机制中，仍然透过档案特徵的机制，识别有问题的档案，彭国达认为，这些针对性攻击的电子邮件，既不会被当做垃圾信，信件中的恶意档案可能也没有在黑名单中，有问题的邮件仍然会到使用者手上。再加上，骇客很可能将恶意软体拆开寄送，或是信件中夹带拥有下载恶意软体功能的附件。

更何况沙箱检查相当耗时，彭国达认为，企业每人每天都要处理许多电子邮件，若是一个附件档案就需要几分钟到数个小时，并不能跟上企业运作的步调。

虽然，近年来资安的意识提升，公司或许会教育员工避免点选有问题的电子邮件，然而若是具有针对性的攻击信件，例如寄送履历表到人资部门，传送订单到业务单位，透过员工自行识别含有恶意攻击的电子邮件，难度越来越高。

彭国达形容，在这些恶意附件中常见的零时差攻击方式，就像埋在地底下的地雷，难以追查与清除，然而一旦触发，后果将难以收拾。

从解析常见的附件档案格式，清除有问题的恶意程式码，强化现有防护机制的不足

另一方面，即使是一般电子邮件里的附件档案，也很有可能在传送的过程中，遭到有心人士从中窜改，加入恶意程式码内容，若是直接拦截档案，原本的资料也会付之一炬。因此，彭国达认为，透过像Votiro解决方案将档案拆解，去除有问题的恶意程式码，并将档案复原，维持其能够正常开启及使用，才是真正的解决方法。由于Votiro会先确认附件的真实档案类型，并分析其中组成的架构，然后删除与这种档案型态架构无关的内容，国际研究暨顾问机构Gartner将这种机制称为档案的内容清理与重建（Content Disarm and Reconstruction，CDR）。

从Votiro产品的功能来看，它支援拆解邮件附档中最常见的Office文件、PDF文件、RTF文件、影像档案，以及ZIP、RAR、LZH等压缩档案格式，而非所有格式的附件档案都能分析，因此对于像是伪冒成文件档案的EXE格式可执行档，这款产品会当作来路不明的档案，予以封锁。

但从邮件的中间人攻击的角度，这样的机制主要还是针对附件的恶意软体，若是遇到防範骇客窜改信件内文，还是要与现有的电子邮件防护措施，以及使用者的资安意识结合（例如，透过电话再次确认）才行。

附带一提，CDR技术不只能够用在邮件附件档案分析，做为电子邮件安全闸道，以Votiro而言，也可运用在公司内部端点电脑的外接USB随身碟档案过滤，以及网站与FTP伺服器中，这些伺服器主机会接收到使用者上传的文件，同样需要避免收到夹带恶意软体的档案。