2021年一月與二月,垃圾郵件與威脅郵件相較於去年第四季的狀況趨緩;三月的垃圾郵件及攻擊則明顯增多,相較於一、二月份大約成長了30%-40%左右。
中華數位與 ASRC 研究中心整理出第一季特殊的攻擊趨勢如下:
網路服務使用依賴,導致釣魚風險大增
釣魚郵件在第一季樣貌多元,除了常見宣稱電子郵件有問題、驗證與重啟帳戶、要求變更密碼…等,也發現許多釣魚郵件的巧妙心思,例如:利用疫情期間網路服務使用頻繁的假冒快遞、各種影音串流服務、工作職缺等各種釣魚,目標在釣取電子郵件帳號密碼、各種線上服務登入資訊;或誘騙受害人開啟郵件中的惡意檔案、惡意連結,以便進一步取得受害者電腦的控制權。
合法的服務持續遭到濫用,使得攻擊難以封鎖
封鎖惡意的去向或是來源,是資安防護的重要技巧。但有越來越多攻擊濫用了合法且知名的服務,例如:Google雲端硬碟、線上表單,或是雲端主機的郵件派送服務等。這些遭到濫用的合法服務,大多為知名網路服務提供商,不僅收件者會降低戒心,多數上網防禦機制也會略過檢測,讓這類攻擊更加難以封鎖。
為得青睞,惡意檔案誘騙偽裝樣樣來
第一季觀察到許多使用社交工程手法,試圖誘使目標對象下載並執行惡意檔案的攻擊。其中社交工程所利用的理由相當多元,下方案例以薪資問題為誘騙理由,要求受害者下載關聯檔案查看。實際上,下載下來的是經過打包的 PE 檔案,主要的組成為一個 PE 檔 WeChatAppUpdates.exe、一個dll檔 OutlookUpdate.dll 及一個作為餌的 Word 文件。首先會執行 WeChatAppUpdates.exe,WeChatAppUpdates.exe會先關閉宿主電腦上的Windows Error Reporting Service等服務,再啟動常駐後門。
試圖誘使目標對象下載並執行惡意檔案的攻擊
值得注意的是,這個下載回來的惡意執行檔偽裝為 WORD 圖示,並且以一長串文字做為檔案名稱,如不仔細觀察很難發現這並非 WORD 檔案。且在不慎被執行之後,也會開啟一個 WORD 檔案做為煙霧彈。因此,受害者遭到後門植入後也很難在第一時間察覺異狀。
大量惡意的 Office 文件檔,透過遠端載入惡意範本躲避掃瞄
第一季我們發現大量的惡意 Office 文件被散播。這些郵件以英文或多國語言撰寫,使用冒名的社交工程手法。這些惡意檔案多半是 Office 文件以 ZIP 壓縮的 XML 包裹格式,如:.docx、xlsx…等。將打包惡意文件拆解開,其共通的手法:在惡意文件\文件格式\_rels\webSettings.xml.rels檔案內,載入一個遠端的惡意範本檔案。
這個惡意範本被放置於 ColoCrossing 虛擬主機上,最終會下載一個 vbc.exe 並在宿主端運行,伺機竊取宿主主機的機敏文件。這類型的惡意郵件在 2021 年第一季大量被觀察到,若就這類惡意文件來做檢查,本身並沒有明顯的VBA或惡意程式碼包含在其內,因此有機會躲過某些掃描機制。
總結
務必特別留意遠端下載惡意文件或程序的攻擊。這類攻擊,除了遠端伺服器可掌控下載者的IP、時間、地點、瀏覽器版本外,也可任意更改下載的樣本,讓資安研究單位不易取得樣本;這類社交工程手法融合下載惡意檔案的攻擊有複雜化的趨勢,即便受害者已經十分提防,也不見得能察覺自己下載並執行了惡意檔案。 除了提高警覺、不開啟、不下載來路不明的郵件與檔案之外,萬一在不慎開啟不明檔案後,發現不是自己所預期的資料,一定要特別留意。建議企業單位應定時對內部進行資安檢測或掃描,確保企業內部未被植入可長期竊資的後門,並留意各項不尋常的異狀。
