近期不少客户询问关于附件文件夹带.ISO、.IMG等镜像文件的攻击行为。事实上，守内安与ASRC 研究中心在《2019 年第三季度电子邮件安全趋势报告》中，就已指出在 2019年第三季度观察到不少黑客利用 UDF 镜像文件附件作为攻击工具的案例：UDF 镜像文件原是用于光盘备份、刻录前缓存、大量复制光盘，其扩展名多为 .iso、.img等。由于这类镜像文件有其特定用途，部分防毒墙、防火墙、终端防病毒软件会忽略对这类格式文件的大小限制或其内容的检查，因此攻击者就利用此缺口，将病毒嵌在标准合法的 UDF 镜像文件内，以躲过各种检查关卡。再次提醒管理者要意识到镜像文件也可被用于攻击，并作安全部署考虑。

这类攻击几乎都与商业交易行为有关，涉及订单、发票、询价报价、交易通知，内容也十分本土化，亚洲地区发现的样本除了英语外，也有韩语、简繁体中文。攻击在2019年第四季度达到高峰，2020年第一季度整体数量降至前一季度的1/3，并且，除了.ISO、.IMG等常见的镜像文件格式被利用之外，我们也观察到有少量的.DAA格式镜像文件在外散播。

守内安与ASRC至今仍持续监控这类攻击。事实上.ISO、.IMG夹带恶意程序并不是什么新闻，长期以来一直都有，可以把它想成是一种压缩文件，类似zip中藏了恶意程序。因此，以.ISO文件来说，装Winrar的Windows会将他的图标显示为Winrar可支持的压缩文件 (Winrar预设关联.ISO文件)，对于收到这种.ISO文件的收件人来说，可能会很自然地将它打开，并执行恶意程序。

守内安再次提醒企业小心留意，防御镜像文件攻击可以这么做：

1. 取消隐藏扩展名，对镜像文件附件多加留意。

2. 加强员工安全意识，对来路不明的邮件高度警惕。

3. 使用邮件防御系统，提供员工相对安全的邮件使用环境。

目前守内安 SPAM SQR 已可防御这类镜像文件攻击

关联阅读

ASRC 2019 年第三季度电子邮件安全趋势报告

http://www.softnext.com.cn/news_main.html?pg=6&tag=cn1&nid=3

微软警告垃圾邮件传播恶意镜像文件，可能为攻击企业用户做准备

http://www.chinaemail.com.cn/blog/content/11349/

封面用图来源：摄图网