ASRC 2019 第一季電子郵件安全趨勢

根據 ASRC 研究中心觀察，2019 第一季郵件伺服器攻擊活動，以不存在的域名任意嘗試發送郵件為最大宗；其次則是消耗郵件主機資源的攻擊。需特別留意的是，全球仍有許多漫無目的測試郵件主機是否設定不當，而可任意被用來轉送的「開放轉發 (OpenRelay)」的試探。

病毒郵件方面，由遭到蠕蟲感染主機所發出的擴散感染郵件佔最多數，其中以「諾瓦病蟲 (MyDoom)」活動最為頻繁，是最主要的蠕蟲郵件的擴散源；其次為各種具備 Windows 感染能力，並在開機後嘗試執行且常駐的病毒。

除了常見的病毒信、釣魚連結外，ASRC 研究中心舉出幾個以收件者為目標，並誘使收件者配合執行惡意程序的攻擊案例，提醒企業特別留意與小心提防：

1. WinRAR 潛在的 10 年漏洞，被用來進行 APT 攻擊

WinRAR 潛在的10年漏洞，在2019 年 2 月 20 日左右被披露。在漏洞被披露的兩天內，ASRC 與中華數位科技便偵測到利用這個漏洞的 APT 攻擊。

攻擊手法

遭入侵的非公務信箱鎖定了特定高科技企業與政府單位，並對這些單位寄送含有漏洞利用的惡意 .rar 附檔。當收件人試圖使用 WinRAR 解壓縮檔案查看其中內容時，便會遭到夾帶於惡意檔案中的惡意程式攻擊，在每次開機都會執行特定的惡意程式。這個惡意程式蒐集加密受攻擊者的電腦機敏資訊後，利用 Dropbox 免費空間進行惡意工具的下載與機敏資料的上傳。

一旦收件人試圖使用 WinRAR 解壓縮查看內容時，便會遭到惡意程式攻擊，並在每次開機時執行特定的惡意程式。這個惡意程式蒐集加密受攻擊者的電腦機敏資訊後，利用 Dropbox 免費空間進行惡意工具的下載與機敏資料的上傳。

2. GandCrab 勒索程式已在中國傳出災情，兩岸間往來密切的企業請多加留意

2018 年 1 月，由 Bitdefender、羅馬尼亞警政署、歐洲刑警組織聯手揭露了 GandCrab 這個惡意勒索軟體。GandCrab 的開發者十分積極，很快地在同年的三月及五月先後釋出 GandCrab2.0 與 3.0 版本。目前已進化至 5.2 版，在2019第一季季末開始在中國爆發並傳出災情。

3. 駭客利用合法空間掩護非法攻擊
越來越多的免費檔案儲存、程序寄放空間、免費的網頁生成，被用來寄放惡意攻擊程序，或一頁式的網路釣魚頁面，攻擊者再將這些惡意連結，透過釣魚郵件的方式進行發送以進行攻擊。由於這些網站本體都是合法的，只是某一頁、某個檔不懷好意，因此，並不能直接將這些網站封鎖；而特定的某個惡意頁面或某個惡意檔案的存活時間也不長，但新的惡意頁面與檔案卻不停的快速生成。例如Github.io 就被用來建構釣魚網頁，透過釣魚郵件發送。

不論是夾帶附檔或是遞送超連結的電子郵件攻擊，要收件人直接辨別是否帶有惡意，是十分不容易的事。部分收件人為了進一步確認這些連結或檔案是否帶有自己業務工作相關內容，在危險的情況下直接開啟、預覽檔案，而造成入侵、感染事件時有所聞。事實上企業應把內部人員視為會遭受駭客攻擊的目標進而保護之，而非一昧要求他們靠自己的力量嚴守防線保護公司不被駭。因此，以適當的安全作業流程搭配設備，盡量讓人員不要接觸問題郵件才能有效避免攻擊事件的發生。

關聯閱讀

．ASRC 2019 第一季郵件安全趨勢完整報告：http://bit.ly/2E6YCGC

．WinRAR漏洞分析：http://bit.ly/2WHC8mS

．GandCrab軼聞與運作：http://bit.ly/2LANb01

關於 ASRC 垃圾訊息研究中心
ASRC 垃圾訊息研究中心 (Asia Spam-message Research Center)，長期與中華數位科技合作，致力於全球垃圾郵件、惡意郵件、網路攻擊事件等相關研究事宜，並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式，促成產官學界共同致力於淨化網際網路之電子郵件使用環境。更多資訊請參考 www.asrc-global.com 。