ASRC 2022 上半年電子郵件安全觀察

2022年第一季，所有企業都能明顯感覺到的威脅郵件，即是Emotet的濫發。Emotet的濫發，使用了各種藏匿及混淆的手段，用以躲避防毒及資安防護軟體的檢測，而其中最重要的一個手段就是「壓縮加密」。過去，在傳輸檔案前先經過「壓縮加密」，多半是為了保護機敏文件在傳輸過程中，不被傳遞管道的中間人取得或窺探的防護手段；而現在，卻經常成為惡意程式用以躲避資安檢測的保護傘。第二季的電子郵件攻擊，以釣魚郵件佔多數；其次是帶有加密病毒附件檔的郵件，其數量較第一季約成長4倍。透過大量連線攻擊的次數則約為第一季的兩倍。上半年觀察到「加密」手段及Follina漏洞的利用至截稿前都沒有明顯趨緩的態勢：前者多半用於無針對性的廣泛攻擊；後者則多為國家級APT愛用的手法，值得大家留意後續的利用與發展。

ASRC 研究中心與中華位科技在2022年上半觀察到的幾個特殊郵件案例：

Emotet 捲土重來，以加密惡意附件躲避防禦偵測

雖然歐洲刑警組織（Europol）與其它8個國家的執法機構在2021年初聯手破獲了Emotet殭屍網路，但新的Emotet伺服器和惡意軟體樣本又在2021/11/14出現，並透過電子郵件大量散播。Emotet的垃圾郵件攻擊行動所夾帶於郵件裡的惡意Office文件多為xls、xlsx、xlsm、doc、docx、docm...等等，部分以zip加上密碼的方式，躲避資安防禦工事的偵測。當收件者不慎執行惡意Office文件內的巨集，Office文件內紀錄的 URL 清單即會被嘗試下載，副檔名可能為 .ocx 檔，但實為 DLL 的檔案。接著使用 regsvr32.exe -s 指令，於收件者的 Windows 內執行 .ocx。

接下來進行潛伏：將 .ocx 複製到使用者目錄下的「AppData\Local\隨機目錄名稱」，並隨機取名 xxxxxxx.yyy (x長度不定)，再將該 .ocx 刪除。執行 C:\Windows\system32\regsvr32.exe /s "C:\Users\使用者名稱AppData\Local\隨機目錄名稱下的惡意檔案，並透過 registry 設定開機執行。

較特別的是，用以隱匿惡意檔案的連結，使用了多種手法躲避，例如：分別使用十六進位、八進位的方法，來存放遠端伺服器的IP位址，進而讓 Emotet下載第2階段的惡意程式，現行的資安防護系統很可能無法察覺異狀。

Follina、Dogwalk… 新的漏洞攻擊接連爆發

Follina 攻擊，透過電子郵件觸發

微軟於 5 月 30 日公布位於 MSDT (MS Support Diagnostic Tool) 的 Windows 漏洞 CVE-2022-30190，這個漏洞被命名為 Follina，因為一開始發現的攻擊檔案名稱有著 0438 這個數字 (05-2022-0438.rar)，0438 是義大利 Follina 的區號，因而得名。這個漏洞是 Windows 本身的漏洞，但觸發方式可透過電子郵件來進行：在電子郵件中以附件檔夾帶一個惡意的 Office 文件檔或是 RTF 文件檔，並利用 Office 程式向外抓取一個惡意的 HTML 檔，再藉此惡意 HTML 檔使用「ms-msdt」MSProtocol URI scheme 以載入一段程式碼，觸發 PowerShell 執行。

微軟 MSDT 延伸漏洞 - DogWalk

與 Follina 同樣是 MSDT 透過電子郵件的利用，另一種攻擊方式，是透過電子郵件寄送惡意超連結的方式，令受害者下載一個惡意的 diagcab 檔，並以社交工程的方式誘騙受害者點擊才能觸發。觸發後利用路徑/目錄穿越（Path Traversal），允許攻擊者將任何檔案，存在檔案系統任何地方，比方 Windows 的「啟動」資料夾中，進行長期的潛伏，並且這個過程完全是安靜的。這種攻擊方式有另一個暱稱為 DogWalk。

攻擊新手法，提高駭侵成功率

透過 PDF 掩護夾帶惡意 Office 檔案

四月份，我們發現有夾帶惡意 Office 檔案的 PDF 檔。這種惡意檔案的本體，是一個利用了 Excel 預設密碼加密過的惡意 xls 檔案，所利用的漏洞為 CVE-2017-11882，內嵌於 PDF 的附件內，利用 PDF 編碼作為掩護，使得防毒或資安檢測軟體極難辨識。當受害者不慎透過 Adobe Acrobat Reader 等 PDF 閱讀工具開啟了這個惡意的 PDF 檔案時，會自動詢問是否要開啟其中的惡意附件檔案，若受害者不慎同意開啟，則惡意檔案即會於受害者的電腦上安裝後門程式。要防範此類攻擊，除了採用較好的資安檢測機制外，在打開檔案時的任何軟體警示最好都不要輕易忽視！

透過呼叫瀏覽器，解碼藏在 HTML 檔中的壓縮檔

在過去，將各種威脅檔案隱藏在壓縮檔裡，是很常見的行為。因為壓縮檔給了惡意程式一個外殼，需要進行解壓縮才能分析，但這對於多數的資安分析機制都不是甚麼大問題。於是，攻擊者在壓縮檔加上密碼，並於郵件中告知受害者密碼，就有機會躲過偵測並執行後續的後門安裝。我們在本季看到了一個有別於傳統攻擊手段的利用。

這個特別的利用方式是，在電子郵件的附件檔中放入一個 HTML 檔案，當這個 HTML 檔被受害者點擊後，「下載」一個加密的惡意檔案。事實上，這並非真的從網路上「下載」一個惡意檔案，而是透過瀏覽器，解碼出內嵌於 HTML 內的一個加密惡意檔案，由於這個檔案不是從外部而來，因此瀏覽器的檔案下載保護，及 Windows 內建的「網路標記」(Mark of the Web)保護也會因此失效。根據我們分析的惡意樣本，加密的 zip 裡是一個 PE 檔的後門程式。

防範釣魚郵件教學的釣魚郵件

上半年我們發現一個有趣的案例：教人防範釣魚郵件的教學，內容卻是帶有連往釣魚網站的釣魚郵件。正當我們好奇想了解這個網站想釣是哪些資料時，釣魚頁面已經顯示這個頁面遭到停權。

針對電商帳號的釣魚攻擊

在三月份，我們觀察到針對特定電商的釣魚郵件，這些釣魚郵件主要詐騙的目標為電商平台的登入帳號密碼。在成功取得帳密後，除了能利用電商進行一些虛假交易外，帳號密碼也可能被拿到其他的社群、電商、電子郵件登入入口嘗試憑證填充 (Credential Stuffing) 攻擊。釣魚網站的域名都在近期申請，並利用三或四級域名將電商品牌關鍵字包含在內，讓收件者因此放下戒心。

利用烏俄戰爭議題的詐騙郵件

廣受關注的實事議題一直都是駭客愛用的工具。2022年2月24日爆發烏俄戰爭，從3月初開始有大量假藉戰爭募款的詐騙郵件四處流竄。與過去常見的419scam不同的地方是，詐騙信的內容提及由於戰爭的關係，銀行已經無法正常作業，因此募集的是以比特幣為主的加密貨幣。

自勒索軟體出現之後，大家看見了「加密」手段的兩面刃性質，企業對於加密的看法也從過去的「保護機敏文件」用途，開始有了「躲避檢查」的懷疑。因此，企業對於加密檔案的檢查規範，勢必要增加一個將不合理加密情況視為威脅的考量；而在電子郵件安全早期還不受重視時，多數的收信軟體或 Webmail，幾乎都能像瀏覽器一樣完整的執行各種網頁程式。隨著時間推移，大家慢慢意識到電子郵件這個管道若不進行管控或限縮，會是一個可以主動攻擊的破口。因此，現在的收信軟體或是 Webmail 都不再能直接執行各種網頁程式。攻擊者在演化的過程中留意到了電子郵件可夾帶各種附件的可能性，開始透過夾帶各種惡意檔案以利用這些檔案開啟軟體的漏洞。HTML 檔可以呼叫瀏覽器開啟，在過去經常被用來做離線釣魚，這次我們看到了離線下載檔案攻擊樣本，未來在呼叫瀏覽器的利用方面恐怕將更加深化及普及化。