2022年對許多人來說是艱困的一年,世界仍受疫情影響,全球性通膨也讓經濟局勢難以樂觀,加上地緣政治風險不斷升高、戰爭爆發,更讓資訊安全的重要性被瞬間拉高。藉由回顧2022電子郵件的攻擊樣態,思考2023即將可能面對的攻擊趨勢與未知風險,並及早防範!
根據中華數位科技與ASRC研究中心的觀察,相較於2021年,2022年的病毒郵件數量大約成長了31%,419scam詐騙郵件成長了76.37%,而惡意郵件中夾帶了zip及rar壓縮檔的狀況都成長了50%以上,其中很大一部分受到密碼保護,加密的惡意壓縮檔很可能就此成為未來常見的趨勢。而夾帶惡意文件檔成長最多的為惡意pdf檔,其次則分別為Office的Word格式檔案與Excel檔。Office文件漏洞利用,則以CVE-2021-40444成長最多,更早期的漏洞的利用情況也依然有所成長;CVE-2022-41049也是在2022年11月揭露後,就開始出現頻繁被利用的跡象。
文件型漏洞利用大略可看出:新的漏洞被揭露後會在短時間內遭到頻繁嘗試利用,但舊的文件漏洞利用攻擊仍存在,顯然攻擊者並不認為舊有漏洞可被全面修補。全年來看,攻擊郵件數量最多的時間點則是集中在第二季。
惡意加密壓縮附件
在2022年第一季中大量流行的Emotet垃圾郵件攻擊行動,其所夾帶於郵件裡的惡意Office文件多為xls、xlsx、xlsm、doc、docx、docm等等。但值得注意的是,這些文件除了直接寄送外,也會被以zip加上密碼的方式做發送,用意是為了躲避資安防禦工事的偵測(圖1)。
圖1 以zip加上密碼的方式,躲避資安防禦工事的偵測。
此類攻擊郵件最明顯的特性是:解密的密碼與加密檔的壓縮同時存在同一封郵件中,此特性也是與日本已行之有年,以附件ZIP加密碼的資安防護方式簡稱為PPAP最大的區別點。PPAP是由4個詞所組成,Password付きzipファイルを送ります、Passwordを送ります、An号化、Protocol(プロトコル)。一般指將電子郵件夾帶的附件,透過ZIP加密壓縮,再將可以解壓縮的密碼,透過另一封郵件發給對方解密。
PPAP的使用有許多疑慮與弊病存在:加密檔案與密碼經常使用相同的通訊管道分次傳輸、長久使用固定密碼,以及加密檔案直接遭到攔截並暴力破解的挑戰等,都說明了PPAP的使用並不安全。再加上2022年的加密惡意壓縮附件檔數量大肆氾濫,已有多個大型企業集團直接廢除PPAP的傳輸方式,並宣布接收外部郵件時,將會直接濾掉帶有密碼的壓縮檔。因此,未來帶有加密附件的電子郵件在資安防護的角度下,很可能會由原有的保護機敏文件的視角,全面改變為需要受到特殊檢查,或被隔離的郵件。
以「安全」為名的攻擊郵件
在2022年,也經常看見教人防範釣魚郵件的教學,內容卻是帶有連往釣魚網站的釣魚郵件(圖2)。
圖2 貨真價實的釣魚郵件,內容卻為防範釣魚郵件的教學。
或假借情資通報,實則帶有CobaltStrike Beacon後門程式的攻擊郵件。如圖3所示,這封攻擊郵件冒充了台灣行政院國家資通安全會報技服中心發布的漏洞資訊。雖然發送郵件的源頭並非真的由技服中心而來,但在內容上,不論是格式或是用語都煞有其事,並附上一個惡意附件,在郵件內容中還標註了解壓縮的密碼,並誘騙收信者要想知道完整的駭客消息,需要解壓縮附件檔案(圖4)。
圖3 攻擊郵件冒充了台灣行政院國家資通安全會報技服中心發布的漏洞資訊。
圖4 冒名政府機關對特定單位進行的APT攻擊。
許多的攻擊手法、通報本來就常藉由電子郵件的管道來發布,因此收信者可能會對「教學說明」、「安全通報」類的郵件較無戒心,這類型的社交工程手段在未來很可能會更常出現。
釣魚郵件大爆發的一年
澳大利亞競爭與消費者委員會(ACCC)顯示,2022年3月,澳大利亞人因各種類型的詐騙共損失了9,500萬澳元。網路釣魚攻擊正變得越來越普遍,並且在未來幾年沒有任何趨緩的跡象。而根據IBM的2021年數據洩露成本報告,網路釣魚是第二昂貴的攻擊媒介,平均給組織造成465萬美元的損失。網路釣魚幾乎是所有網路攻擊最經典的攻擊前奏,面對它所帶來的損失,相信絕不是一個不採取任何行動就能被接受的風險。 網路釣魚攻擊事件的數量逐年增加,根據ASRC的統計,相較於2021年,2022年的釣魚郵件數量成長幅度高達2倍。在此所謂的網路釣魚郵件意指:電子郵件中僅夾帶一個惡意超連結,且不存在除了圖片以外的附件檔案,將受害者帶往特製的釣魚網站,目的是騙取受害者的機敏資料,以作為後續其他攻擊的利用。
釣魚郵件進化的方向主要是朝著釣魚網址不要被偵測、不要被瀏覽器屏蔽的方向發展。在2022年,可看到釣魚網站利用了Google翻譯(圖5)、微軟的線上問卷機制(圖6),遮蔽了真實的網址,使得郵件內惡意網址的偵測變得困難、同時受害者也不容易受到瀏覽器的網址安全功能保護。
圖5 Google翻譯本身支援了翻譯整個網站的功能,也可被濫用於屏蔽釣魚網站;識別的秘訣是:網頁中存在Google的翻譯列。
圖6 釣魚攻擊濫用了微軟的線上問卷調查機制。
除了利用合法服務進行網址屏蔽外,部分的釣魚郵件也利用QR Code來隱藏惡意網址,相較於其他區域,這樣的攻擊在中國更常見,但此類攻擊占整體的釣魚郵件數量其實不多,而且此類釣魚郵件特別針對手機進行攻擊,如圖7~圖9所示。
圖7 釣魚郵件利用QR Code隱藏惡意網址。
圖8 QR Code解碼後的惡意網站只接受手機瀏覽器才會顯示真正的釣魚頁面。
圖9 釣魚的目標主要針對銀行卡的卡號。
整個釣魚攻擊的過程,除了電子郵件外,釣魚網站才是真正收獲機敏資料的重要陷阱。釣魚網站在過去幾年的統計裡,絕大多數存活天數都在一天以內,原因是這些釣魚網站、頁面所寄宿的VPS、免費網站表單生成器、ISP都會主動進行偵查或接受檢舉,而將這些釣魚網站下架。因此,釣魚網站也需要往更不易被下架的方向演化!
2022年看見了釣魚網站利用了星際檔案系統(InterPlanetary File System,IPFS)這個技術做為網站寄宿空間。星際檔案系統是一個旨在實現檔案的分散式儲存、共享和持久化的網路傳輸協定。它是一種內容可定址的對等超媒體分發協定,在IPFS網路中的節點構成一個分散式檔案系統。
傳統的惡意檔案寄存於單一網站,一旦伺服器掛掉或連線斷掉,這個惡意檔案或是釣魚頁面就無法被取得。但是,在IPFS上,檔案可以利用多個網路節點上傳送,因此可確保內容長久存在(圖10),釣魚網站也更難以被簡單封鎖或是被網站管理員「下架」!
圖10 惡意頁面或檔案開始利用IPFS協定躲避封鎖。
結語
面對2023,企業應仔細考慮加密文件的流動是否存在繞過安全稽核的風險。此外,千萬別將所有的風險防範都寄望於人體防火牆,社交工程逐步精緻複雜化,已經不是一般未經教育訓練的人員可抵禦的風險。
再者,釣魚的手段越來越多樣化,難保機敏的憑證不會因為一時的疏失而外洩,採取零信任的環境部署,針對每一個服務登入都要求驗證、記錄,並適當將操作權限開放在合理的最小化狀態,將可有效減輕憑證遭到釣魚攻擊的風險。
<本文作者:高銘鍾現為ASRC研究中心主任>