守内安与 ASRC 研究团队侦测到利用 WinRAR 重大安全漏洞发动的 APT 攻击！

自 Check Point 的安全研究团队通知 RARLab 存在越界写入 (out of bounds write) 漏洞时，ASRC 团队即开始留意此漏洞被用于邮件攻击的状况。这个漏洞大概于 2019 年 2 月 20 日被披露，大约两天内，守内安与 ASRC 团队便侦测到利用此漏洞的 APT 攻击。

该漏洞肇因于 WinRAR 引用第三方函式库 UNACEV2.DLL 用于支持 ACE 这种压缩格式。 UNACEV2.DLL 存在一个在解压缩时可写入及执行任意文档的漏洞，且这个函式库自 2005 年以来便没有更新，造成了十多年来 WinRAR 的各种版本皆受此漏洞的影响。由于 WinRAR 的开发团队不握有原始码，因此在近期 WinRAR 5.7 版，以取消对 ACE 压缩格式的支持的方式解决这个漏洞。若您或您所在的企业组织有使用 WinRAR 作为压缩、解压缩工具，请务必更新至 WinRAR 5.7 版以上。 (WinRAR 官方下载链接：https://www.rarlab.com/download.htm)

该漏洞虽发生于解压缩 ACE 格式的压缩文件才会触发，但由于许多个人或企业单位不使用或没听过 ACE 这种压缩格式，因而轻忽此漏洞的危险性。实际的攻击，只要能呼叫出 UNACEV2.DLL ，并不一定需要扩展名看来是 .ace 的压缩文件。

ASRC 研究团队最新观测到的攻击来自遭到入侵的非公务邮箱，针对特定高科技企业与政府单位寄送含有漏洞利用的恶意文档进行攻击，其扩展名为 .rar。当收件人试图使用 WinRAR 解压缩文档查看其中内容时，便会遭到夹带于恶意文档中的恶意软件攻击，并在每次开机都会执行特定的恶意软件。这个恶意软件搜集加密受攻击者的计算机机敏信息加密后，利用 Dropbox 免费空间进行恶意工具的下载与机敏数据的上传。

守内安 SPAM SQR 搭配 ADM 高级防御模块，在事件遭到披露时，即可对此类攻击进行侦测与防护，但仍请留意此波攻击。

关于 SPAM SQR与 ADM 高级防御模块

Softnext 守内安 SPAM SQR 内置多种引擎 (恶意文档分析引擎、威胁感知引擎、智能诈骗引擎) 、恶意网址数据库，并可整合防毒与动态沙盒等机制，以多层式的运行过滤方式，对抗恶意威胁邮件的入侵。

SPAM SQR 的 ADM高级防御模块 (Advanced Defense Module)，可防御鱼叉式攻击、 APT 等新型进阶攻击手法邮件。研究团队经长时间的追踪黑客攻击行为，模拟产出静态特征。程序自动解封装文档进行扫描，可发掘潜在代码、隐藏的逻辑路径及反组译代码，以利进行进阶恶意程序分析比对。可提高拦截夹带零时差 (Zero-day) 恶意程序、APT攻击工具及含有文件漏洞的攻击附件等攻击手法邮件的能力。

关于 ASRC 垃圾信息研究中心

ASRC垃圾信息研究中心 (Asia Spam-message Research Center)，长期与 Softnext 守内安合作，致力于全球垃圾邮件、恶意邮件、网络攻击事件等相关研究事宜，并运用相关数据统计、调查、趋势分析、学术研究、跨业交流、研讨活动…等方式，促成产政学界共同致力于净化网络之电子邮件使用环境。更多信息请参考 www.asrc-global.cn