ASRC 2021 年第二季度電子郵件安全觀察
由于疫苗的開發與大量普及,疫情的陰霾,終于露出了一線曙光。許多地區開始解封,世界開始流動,就在此時,變種病毒對疫苗的抗性產生了變化,讓原本開始解封的地區又拉起警報,第二季充滿了希望與驟變,信息安全也在時刻角逐,是否也能及時防護與應對呢?
第二季整體垃圾郵件量相較上一季增加 50%,帶有 Office 惡意文件的攻擊郵件則較上一季增加 3.5 倍,脫機釣魚的數量成長了 2.4 倍;針對 Microsoft Office 漏洞利用則以 CVE201711882 及 CVE20180802 為主。
守內安與ASRC針對第二季重要的攻擊手法與樣本進行以下分析:
詐騙及釣魚郵件仍十分盛行
第二季全球疫情因為病毒變種的關系,許多地區仍實施遠程工作或在家上班。釣魚郵件看似威脅性不大,可一旦賬號密碼被釣,攻擊者即可能透過開放的遠程工作對外服務,及單一賬號認證服務 (SSO,Single sign-on) 合法使用企業開放的服務,而形成入侵企業的破口。
釣魚及詐騙郵件在第二季非常盛行
連外下載的惡意 Office 文件
第二季,我們發現許多惡意的 Office 文件樣本。這些 Office 文件樣本的攻擊方式不利用漏洞,也未包含可疑的宏或 VBA 等操作,而是單純的利用 XML連接外部開啟另一個惡意文件。這種樣本在今年初就開始流竄,到了第二季,有明顯增多的趨勢。
以訂單作為社交工程的手段,誘騙受害者開啟惡意文件
這種連外開文件的惡意 Office 文件樣本,多半以 docx 的方式夾在電子郵件的附件中,少數用 xls 及ppam 的方式做夾帶。連外下載超鏈接會透過短網址,如:xy2.eu、bit.ly、linkzip.me、bit.do、u.nu、is.gd 或其他經過編碼的網址藏身;下載的惡意文件則多為 .wbk (Microsoft Word 備份)、.wiz (Microsoft Wizard File)、.dot (Microsoft Word 范本)、.doc,雖然有些類型的文檔不常見,但只要計算機安裝 Microsoft Office 相關的軟件,就能開啟這些惡意文件并執行。惡意文件被執行后,會向中繼主機抓取 vbc.exe 或 reg.exe 并執行,接著成為常駐的后門程序。
雙擴展名的惡意文檔
第二季出現不少雙重擴展名的攻擊性電子郵件。由于部分自動程序或操作習慣的緣故,會出現一個檔案看似有兩個擴展名,而計算機對于這種檔案的判讀是以最后一個擴展名為主。
以下整理出需要特別留意的雙重擴展名:
其中比較特別的是 .pdf.ppam 的攻擊,這種攻擊利用鏈接至一個短網址,再轉向 Google 的blogspot 服務,透過解碼 blogspot 服務暗藏的信息,再連往俗稱「網站時光機」archive.org 的服務下載攻擊程序。這種種的行為,都是為了躲開一層層的信息安全防護關卡。
.pdf.ppam 的攻擊附件被執行后,會透過暗藏的 vba 向外下載惡意文件
暗藏的 vba 連往 bitly.com 的短網址位置
短網址指向空白內容的 Google blogspot 頁面
玄機藏在網頁的原始碼中,惡意程式的編碼文件,被放在俗稱「網站時光機」archive.org 的合法服務內
編碼文件進行譯碼,可看到完整的攻擊程序
總結
綜合上述樣本的攻擊來看,使用不易偵測的手法來躲避觸發安全警報是攻擊者的趨勢,但我們從這些樣本也發現,由于過度的迂回,及使用模糊的合法服務,這些都會與企業一般的溝通互動行為相違背。因此,防護的安全策略,就可以從這些差異中被制定出來!
除了上述介紹的攻擊樣本外,我們也看見了加入更多混淆的 CVE201711882 攻擊,因此安全設備的特征更新不可或缺;而在某些攻擊郵件的標頭,有時也能發現被隱藏的重要信息,比方 References 的標頭有時會透露出同樣遭受此波攻擊的受害者或企業,在調查事件時便可對攻擊者的目的進行推演。
