疫情因疫苗的開發與普及,露出了一線曙光,許多國家開始解封,部分在家工作的人員重回辦公室;就在此時,由於變種病毒對疫苗的抗性,讓原本開始解封的國家又拉起警報,第二季充滿了希望與驟變,資訊安全策略的調整是否也能跟著及時調整與因應?

第二季整體垃圾郵件量相較上一季增加 50%,帶有 Office 惡意文件的攻擊郵件則較上一季增加 3.5 倍,離線釣魚的數量成長了 2.4 倍;針對 Microsoft Office 漏洞利用則以 CVE201711882 及 CVE20180802 為主。

中華數位與 ASRC 研究中心針對第二季重要的攻擊手法與樣本進行分析:

遠端工作型態下,詐騙及釣魚郵件仍十分盛行

第二季全球疫情因為病毒變種的關係,許多國家地區仍實施遠端工作或在家上班。釣魚郵件看似威脅性不大,一旦帳號密碼被釣,攻擊者即可能透過開放的遠端工作對外服務,及單一帳號認證服務 (SSO,Single sign-on) 合法使用企業開放的服務,而形成入侵企業的破口。

看似無害的惡意 Office 文件,不利用漏洞也不包含可疑巨集

第二季,我們發現許多惡意的 Office 文件樣本。這些 Office 文件樣本的攻擊方式不利用漏洞,也未包含可疑的巨集或 VBA 等操作,而是單純的利用 XML 外連開啟另一個惡意文件。這種樣本在今年初就開始流竄,到了第二季,有明顯增多的趨勢。

這種外連開檔的惡意 Office 文件樣本,多半以 docx 的方式夾在電子郵件的附件中,少數用 xls 及ppam 的方式做夾帶。外連下載超連結會透過縮址,如:xy2.eu、bit.ly、linkzip.me、bit.do、u.nu、is.gd 或其他經過編碼的網址藏身;下載的惡意文件則多為 .wbk (Microsoft Word 備份)、.wiz (Microsoft Wizard File)、.dot (Microsoft Word 範本)、.doc,雖然有些類型的檔案不常見,但只要電腦安裝 Microsoft Office 相關軟體,就能開啟這些惡意文件並執行。惡意文件被執行後,會向中繼主機抓取 vbc.exe 或 reg.exe 並執行,接著成為常駐的後門程式。

雙重副檔名的惡意檔案攻擊

第二季出現不少雙重副檔名的攻擊性電子郵件。由於部分自動程序或操作習慣的緣故,會出現一個檔案看似有兩個副檔名,而電腦對於這種檔案的判讀是以最後一個副檔名為主。

以下整理出需要特別留意的雙重副檔名:

其中比較特別的是 .pdf.ppam 的攻擊,這種攻擊利用連結至一個縮址,再轉向 Google 的blogspot 服務,透過解碼 blogspot 服務內藏的訊息,再連往俗稱「網站時光機」archive.org 的服務下載攻擊程序。這種種的作為,都是為了躲開一層層的資訊安全防護關卡。(完整的攻擊手法分析請參考ASRC 官網消息www.asrc-global.com)

使用不易偵測的手法來躲避觸發資安警報是攻擊者顯見的走向,但我們從這些樣本也發現,由於過度的迂迴,及使用模糊的合法服務,這些都會與企業一般的溝通互動行為相違背。因此,防護的資安策略,就可以從這些差異中被制定出來!

除了上述介紹的攻擊樣本外,我們也看見了加入更多混淆的 CVE201711882 攻擊,因此資安掃描設備的特徵更新不可或缺;而在某些攻擊郵件的標頭,有時也能發現被隱藏的重要訊息,比方 References 的標頭有時會透露出同樣遭受此波攻擊的受害者或企業,在調查事件時便可對攻擊者的目的進行推敲。

關於 ASRC 垃圾訊息研究中心

垃圾訊息研究中心 (Asia Spam-message Research Center),長期與中華數位科技合作,致力於全球垃圾郵件、惡意郵件、網路攻擊事件等相關研究事宜,並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式,促成產官學界共同致力於淨化網際網路之電子郵件使用環境。
更多資訊請參考 www.asrc-global.com


熱門新聞

Advertisement