2021第一季，疫情的影響似乎稍微趨緩，各國開始施打疫苗，為疫情的終結帶來一線曙光。一月及二月份，垃圾郵件與威脅郵件相較于去年第四季的狀況都是較為趨緩的;三月份的垃圾郵件及攻擊則明顯增多，相較于一、二月份大約增長了30%-40%左右。守內安與 ASRC 研究中心整理出的特殊攻擊樣本如下：

[[402446]]

網絡服務使用依賴，導致釣魚風險大增

釣魚郵件在第一季樣貌多元，除了傳統常見宣稱電子郵件有問題、驗證與重啟賬戶、要求變更密碼…等，也發現了許多釣魚郵件的巧妙心思，例如：利用疫情期間網絡服務使用頻繁的假冒快遞、各種影音串流服務、工作招聘等的各種釣魚，目標在釣取電子郵件賬號密碼、各種在線服務的登入信息;或誘騙受害人開啟郵件中的惡意文件、惡意鏈接，以便進一步取得受害者計算機的控制權。

釣取電子郵件賬號密碼的釣魚郵件

假冒快遞的釣魚郵件，意圖誘導收件者點擊下載惡意文件

合法的服務持續遭到濫用，攻擊難以封鎖

封鎖惡意的去向或是來源，是信息安全防護的重要技巧。但有越來越多攻擊濫用了合法且知名的服務，例如：Google云盤、網頁窗體，或是一些云端主機的郵件派送服務等。這些遭到濫用的合法服務，大多為知名網絡服務提供商，不僅收件者會降低戒心，多數上網防御機制也會略過檢測，讓這類攻擊更加難以封鎖。

黑客利用 Google 窗體進行網絡釣魚

惡意文件誘騙偽裝種類繁多

第一季觀察到許多使用社交工程手法，試圖誘使目標對象下載并執行惡意文件的攻擊。其中社交工程所利用的理由相當多元，下方案例以薪資問題為誘騙理由，要求受害者下載關聯附件查看。實際上，下載下來的是經過打包的 PE 文件，主要組成為一個 PE 文件 WeChatAppUpdates.exe、一個dll文件 OutlookUpdate.dll 及一個作為餌的 Word 文件。首先會執行 WeChatAppUpdates.exe，WeChatAppUpdates.exe會先關閉宿主計算機上的Windows Error Reporting Service等服務，再啟動常駐后門

試圖誘使目標對象下載并執行惡意文件的攻擊

值得注意的是，這個下載的惡意執行文件偽裝為 WORD 圖標，并且以一長串文字做為文件名，如不仔細觀察很難發現這并非 WORD 文件。且在不慎被執行之后，也會開啟一個 WORD 文件做為煙霧彈。因此，受害者遭到后門植入后也很難在第一時間察覺異狀。

圖標偽裝為 WORD 文件，并以長串文字命名，讓人不易察覺擴展名為.exe

大量惡意的Office 文件，通過遠程加載惡意樣本躲避掃描

在第一季我們發現大量的惡意 Office 文件被散播。這些郵件以英文或多國語言撰寫，使用冒名的社交工程手法。這些惡意文件多半是 Office 文件以 ZIP 壓縮的 XML 包裹格式，如：.docx、xlsx…等。將打包惡意文件拆解開，我們發現共通的手法：在惡意文件\文件格式\_rels\webSettings.xml.rels文件內，加載一個遠程的惡意樣本文件。

惡意文件中，遠程加載的惡意樣本

這個惡意樣本被放置于 ColoCrossing 虛擬主機上，最終會下載一個 vbc.exe 并在宿主端運行，伺機竊取宿主主機的機密文件。這類型的惡意郵件在 2021 年第一季大量被觀察到，若就這類惡意文件來做檢查，本身并沒有明顯的VBA或惡意代碼包含在其內，因此有機會躲過某些掃描機制。

惡意文件偽裝為Office文件

總結

務必要特別留意遠程下載惡意文件或程序的攻擊。這類攻擊，除了遠程服務器可掌控下載者的IP、時間、地點、瀏覽器版本外，也可任意更改下載的樣本，讓信息安全研究單位不易取得樣本;這類社交工程手法融合下載惡意文件的攻擊有復雜化的趨勢，即便受害者已經十分提防，也不見得能察覺自己下載并執行了惡意文件。

除了提高警覺、不打開、不下載來路不明的郵件與文件之外，萬一在不慎打開不明文件后，發現不是自己所預期的資料，一定要特別留意。建議企業單位應定時對內部進行信息安全檢測或掃描，確保企業內部未被植入可長期竊取信息的后門，并留意各項不尋常的異狀。