ASRC 2021年第二季电子邮件安全观察

安全 应用安全 数据安全
根据ASRC研究中心 (Asia Spam-message Research Center) 与守内安的观察,2021年第二季度整体垃圾邮件量相较上一季增加50%。

[[411478]]

根据ASRC研究中心 (Asia Spam-message Research Center) 与守内安的观察,2021年第二季度整体垃圾邮件量相较上一季增加50%,带有Office恶意文件的攻击邮件则较上一季增加3.5倍,脱机钓鱼的数量成长了2.4倍;针对Microsoft Office漏洞利用则以CVE201711882及CVE20180802为主。以下针对第二季重要的攻击手法与样本进行分析:

诈骗及钓鱼邮件仍十分盛行

第二季全球疫情因为病毒变种的关系,许多地区仍实施远程工作或在家上班。钓鱼邮件看似威胁性不大,可一旦账号密码被钓,攻击者即可能透过开放的远程工作对外服务,及单一账号认证服务(SSO,Single sign-on)合法使用企业开放的服务,而形成入侵企业的突破口。

钓鱼及诈骗邮件在第二季非常盛行

连外下载的恶意Office文件

第二季,我们发现许多恶意的Office文件样本。这些Office文件样本的攻击方式不利用漏洞,也未包含可疑的宏或VBA等操作,而是单纯的利用XML连接外部开启另一个恶意文件。这种样本在今年初就开始流窜,到了第二季,有明显增多的趋势。

以订单作为社交工程的手段,诱骗受害者开启恶意文件

这种连外开文件的恶意Office文件样本,多半以docx的方式夹在电子邮件的附件中,少数用xls及ppam的方式做夹带。连外下载超链接会透过短网址,如:xy2.eu、bit.ly、linkzip.me、bit.do、u.nu、is.gd或其他经过编码的网址藏身;下载的恶意文件则多为 .wbk(Microsoft Word备份)、.wiz(Microsoft Wizard File)、.dot(Microsoft Word范本)、.doc,虽然有些类型的文档不常见,但只要计算机安装Microsoft Office相关的软件,就能开启这些恶意文件并执行。恶意文件被执行后,会向中继主机抓取vbc.exe或reg.exe并执行,接着成为常驻的后门程序。

双扩展名的恶意文档

第二季出现不少双重扩展名的攻击性电子邮件。由于部分自动程序或操作习惯的缘故,会出现一个档案看似有两个扩展名,而计算机对于这种档案的判读是以最后一个扩展名为主。

以下整理出需要特别留意的双重扩展名:

其中比较特别的是.pdf.ppam的攻击,这种攻击利用链接至一个短网址,再转向Google的blogspot服务,透过解碼blogspot服务暗藏的信息,再连往俗称「网站时光机」archive.org的服务下载攻击程序。这种种的行为,都是为了躲开一层层的信息安全防护关卡。

.pdf.ppam的攻击附件被执行后,会透过暗藏的vba向外下载恶意文件

暗藏的vba连往bitly.com的短网址位置

短网址指向空白内容的Google blogspot页面

玄机藏在网页的原始码中,恶意程式的编码文件,被放在俗称「网站时光机」archive.org的合法服务内

编码文件进行译码,可看到完整的攻击程序

结语

综合上述样本的攻击来看,使用不易侦测的手法来躲避触发安全警报是攻击者的趋势,但我们从这些样本也发现,由于过度的迂回,及使用模糊的合法服务,这些都会与企业一般的沟通互动行为相违背。因此,防护的安全策略,就可以从这些差异中被制定出来!

除了上述介绍的攻击样本外,我们也看见了加入更多混淆的CVE201711882攻击行为,因此安全设备的特征更新不可或缺;而在某些攻击邮件的标头,有时也能发现被隐藏的重要信息,比方References的标头有时会透露出同样遭受此波攻击的受害者或企业,在调查事件时便可对攻击者的目的进行推演。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文 

 

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2021-07-26 05:52:54

邮件安全网络钓鱼电子邮件

2021-10-22 06:11:32

电子邮件安全钓鱼邮件攻击

2021-05-30 22:24:09

邮件安全恶意文件网络攻击

2023-04-25 22:10:23

2020-12-16 09:15:12

邮件安全攻击钓鱼邮件

2013-03-22 11:34:11

戴尔

2021-08-22 14:49:23

网络攻击恶意软件网络安全

2011-12-12 19:49:07

IBM

2021-08-11 12:30:17

APT网络安全恶意软件

2021-08-07 10:32:23

APT网络安全恶意软件

2019-09-03 15:23:53

邮件安全网络钓鱼电子邮件

2011-08-01 11:11:55

2010-11-05 17:53:50

2016-08-04 13:41:27

CTO训练营,技术管理

2020-04-01 09:02:28

邮件安全网络钓鱼网络攻击

2010-06-10 14:10:58

安全电子邮件协议

2013-07-24 09:46:42

Juniper网络Juniper瞻博网络

2014-07-28 16:28:13

VMware

2020-12-25 12:38:56

邮件安全网络钓鱼网络攻击

2023-08-27 00:02:49

点赞
收藏

51CTO技术栈公众号