ASRC 2021 年第二季電子郵件安全觀察

疫情因疫苗的開發與普及，露出了一線曙光，許多國家開始解封，部分在家工作的人員重回辦公室；就在此時，由於變種病毒對疫苗的抗性，讓原本開始解封的國家又拉起警報，第二季充滿了希望與驟變，資訊安全策略的調整是否也能跟著及時調整與因應？

第二季整體垃圾郵件量相較上一季增加 50%，帶有 Office 惡意文件的攻擊郵件則較上一季增加 3.5 倍，離線釣魚的數量成長了 2.4 倍；針對 Microsoft Office 漏洞利用則以 CVE201711882 及 CVE20180802 為主。

中華數位與 ASRC 研究中心針對第二季重要的攻擊手法與樣本進行分析：

遠端工作型態下，詐騙及釣魚郵件仍十分盛行

第二季全球疫情因為病毒變種的關係，許多國家地區仍實施遠端工作或在家上班。釣魚郵件看似威脅性不大，一旦帳號密碼被釣，攻擊者即可能透過開放的遠端工作對外服務，及單一帳號認證服務 (SSO，Single sign-on) 合法使用企業開放的服務，而形成入侵企業的破口。

看似無害的惡意 Office 文件，不利用漏洞也不包含可疑巨集

第二季，我們發現許多惡意的 Office 文件樣本。這些 Office 文件樣本的攻擊方式不利用漏洞，也未包含可疑的巨集或 VBA 等操作，而是單純的利用 XML 外連開啟另一個惡意文件。這種樣本在今年初就開始流竄，到了第二季，有明顯增多的趨勢。

這種外連開檔的惡意 Office 文件樣本，多半以 docx 的方式夾在電子郵件的附件中，少數用 xls 及ppam 的方式做夾帶。外連下載超連結會透過縮址，如：xy2.eu、bit.ly、linkzip.me、bit.do、u.nu、is.gd 或其他經過編碼的網址藏身；下載的惡意文件則多為 .wbk (Microsoft Word 備份)、.wiz (Microsoft Wizard File)、.dot (Microsoft Word 範本)、.doc，雖然有些類型的檔案不常見，但只要電腦安裝 Microsoft Office 相關軟體，就能開啟這些惡意文件並執行。惡意文件被執行後，會向中繼主機抓取 vbc.exe 或 reg.exe 並執行，接著成為常駐的後門程式。

雙重副檔名的惡意檔案攻擊

第二季出現不少雙重副檔名的攻擊性電子郵件。由於部分自動程序或操作習慣的緣故，會出現一個檔案看似有兩個副檔名，而電腦對於這種檔案的判讀是以最後一個副檔名為主。

以下整理出需要特別留意的雙重副檔名：

其中比較特別的是 .pdf.ppam 的攻擊，這種攻擊利用連結至一個縮址，再轉向 Google 的blogspot 服務，透過解碼 blogspot 服務內藏的訊息，再連往俗稱「網站時光機」archive.org 的服務下載攻擊程序。這種種的作為，都是為了躲開一層層的資訊安全防護關卡。(完整的攻擊手法分析請參考ASRC 官網消息www.asrc-global.com)

使用不易偵測的手法來躲避觸發資安警報是攻擊者顯見的走向，但我們從這些樣本也發現，由於過度的迂迴，及使用模糊的合法服務，這些都會與企業一般的溝通互動行為相違背。因此，防護的資安策略，就可以從這些差異中被制定出來！

除了上述介紹的攻擊樣本外，我們也看見了加入更多混淆的 CVE201711882 攻擊，因此資安掃描設備的特徵更新不可或缺；而在某些攻擊郵件的標頭，有時也能發現被隱藏的重要訊息，比方 References 的標頭有時會透露出同樣遭受此波攻擊的受害者或企業，在調查事件時便可對攻擊者的目的進行推敲。

關於 ASRC 垃圾訊息研究中心

垃圾訊息研究中心 (Asia Spam-message Research Center)，長期與中華數位科技合作，致力於全球垃圾郵件、惡意郵件、網路攻擊事件等相關研究事宜，並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式，促成產官學界共同致力於淨化網際網路之電子郵件使用環境。
更多資訊請參考 www.asrc-global.com