ASRC垃圾訊息研究中心調查發現,第二季整體垃圾郵件量相較上一季增加50%,帶有Office惡意文件的攻擊郵件則較上一季增加3.5倍,而離線釣魚的數量成長了2.4倍;針對Microsoft Office漏洞利用,則以CVE201711882及CVE20180802為主。本文將針對第二季重要的攻擊手法與樣本進行分析。
疫情因疫苗的開發與普及,露出了一線曙光,許多國家開始解封,部分在家工作的人員重回辦公室;就在此時,由於變種病毒對疫苗的抗性,讓原本開始解封的國家又拉起警報,第二季充滿了希望與驟變,資訊安全策略的調整是否也能跟著及時調整與因應呢?
第二季整體垃圾郵件量相較上一季增加50%,帶有Office惡意文件的攻擊郵件則較上一季增加3.5倍,離線釣魚的數量成長了2.4倍;針對Microsoft Office漏洞利用,則以CVE201711882及CVE20180802為主。以下針對第二季重要的攻擊手法與樣本進行分析。
釣魚及詐騙郵件在第二季非常盛行。
以訂單作為社交工程的手段,誘騙受害者開啟惡意文件。
詐騙及釣魚郵件仍十分盛行
第二季全球疫情因為病毒變種的關係,許多國家地區仍實施遠端工作或在家上班。釣魚郵件看似威脅性不大,一旦帳號密碼被釣,攻擊者即可能透過開放的遠端工作對外服務,及單一帳號認證服務(Single Sign-on,SSO)合法使用企業開放的服務,而形成入侵企業的破口。
外連下載的惡意Office文件
第二季發現了許多惡意的Office文件樣本,這些Office文件樣本的攻擊方式不利用漏洞,也未包含可疑的巨集或VBA等操作,而是單純地利用XML外連開啟另一個惡意文件。這種樣本在今年初就開始流竄,到了第二季,有明顯增多的趨勢。
這種外連開檔的惡意Office文件樣本,多半以docx的方式夾在電子郵件的附件中,少數用xls和ppam的方式做夾帶。外連下載超連結會透過縮址,如xy2.eu、bit.ly、linkzip.me、bit.do、u.nu、is.gd或其他經過編碼的網址藏身;下載的惡意文件則多為.wbk(Microsoft Word備份)、.wiz(Microsoft Wizard File)、.dot(Microsoft Word範本)、.doc,雖然有些類型的檔案不常見,但只要電腦安裝Microsoft Office相關軟體,就能開啟這些惡意文件並執行。惡意文件被執行後,會向中繼主機抓取vbc.exe或reg.exe並執行,接著成為常駐的後門程式。
雙副檔名的惡意檔案
第二季出現不少雙重副檔名的攻擊性電子郵件。由於部分自動程序或操作習慣的緣故,會出現一個檔案看似有兩個副檔名,而電腦對於這種檔案的判讀是以最後一個副檔名為主(表1)。
其中比較特別的是.pdf.ppam的攻擊,這種攻擊利用連結至一個縮址,再轉向Google的Blogspot服務,透過解碼Blogspot服務內藏的訊息,再連往俗稱「網站時光機」archive.org的服務下載攻擊程序。這種種的作為,都是為了躲開一層層的資訊安全防護關卡。
.pdf.ppam的攻擊附件被執行後,會透過內藏的vba向外下載惡意程式。
內藏的vba連往bitly.com的縮址位置。
縮址指向空白內容的Google Blogspot頁面。
玄機藏在網頁的原始碼中,惡意程式的編碼檔,被放在俗稱「網站時光機」archive.org的合法服務內。
編碼檔進行解碼,可看到完整的攻擊程序。
結語
綜合上述樣本的攻擊來看,使用不易偵測的手法來躲避觸發資安警報是攻擊者顯見的走向,但從這些樣本也發現,由於過度的迂迴以及使用模糊的合法服務,這些都會與企業一般的溝通互動行為相違背。因此,防護的資安策略,就可以從這些差異中被制定出來!
除了上述介紹的攻擊樣本外,也看見了加入更多混淆的CVE201711882攻擊,因此資安掃描設備的特徵更新不可或缺;而在某些攻擊郵件的標頭,有時也能發現被隱藏的重要訊息,比方References的標頭有時會透露出同樣遭受此波攻擊的受害者或企業,在調查事件時便可對攻擊者的目的進行推敲。
<本文作者:ASRC垃圾訊息研究中心(Asia Spam-message Research Center)長期與中華數位科技合作,致力於全球垃圾郵件、惡意郵件、網路攻擊事件等相關研究事宜,並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式,促成產官學界共同致力於淨化網際網路之電子郵件使用環境。更多資訊請參考www.asrc-global.com>