本文來自微信公眾號安全牛,作者/守內(nèi)安
根據(jù)ASRC(Asia Spam-message Research Center)研究中心與守內(nèi)安的觀察,2022年第一季度,很多企業(yè)能明顯感覺到郵件威脅在增加,特別是以Emotet為代表的攻擊再度現(xiàn)身,迫使企業(yè)開始重新思考是否改變郵件保密數(shù)據(jù)的傳遞方式,并采取相應(yīng)的保護(hù)措施。研究顯示,若企業(yè)只具備基礎(chǔ)的郵件防御能力,已無法對抗黑客不斷增強的進(jìn)階攻擊。
以下是ASRC研究中心與守內(nèi)安對2022年第一季度威脅郵件態(tài)勢的主要觀察。
Emotet再度現(xiàn)身,以加密惡意附件躲避防御偵測
Emotet的攻擊,使用了各種藏匿及混淆的手段,用以躲避防毒及網(wǎng)安防護(hù)軟件的檢測,其中,最重要的一個手段就是壓縮加密。過去,在傳輸附件前先壓縮加密數(shù)據(jù),主要是為了保護(hù)保密文件在傳輸過程中不被中間人取得或窺探,現(xiàn)在,卻經(jīng)常成為惡意軟件用以躲避安全軟件檢測的保護(hù)傘。
2021年11月,新的Emotet服務(wù)器和惡意軟件樣本出現(xiàn),并通過電子郵件大量散播。Emotet的垃圾郵件攻擊行動所攜帶于郵件里的惡意Office文件多為xls、xlsx、xlsm、doc、docx、docm...,部分以zip加上密碼的方式,躲避信息安全防御的偵測。當(dāng)收件者不慎執(zhí)行惡意Office文件內(nèi)的宏,Office文件內(nèi)記錄的URL列表即會被嘗試下載,擴(kuò)展名可能為.ocx文檔,但實為DLL的文檔。
較特別的是,用以隱匿惡意文件的連接,使用了多種手法躲避,例如:分別使用十六進(jìn)制、八進(jìn)制的方法,來存放遠(yuǎn)程服務(wù)器的IP地址,進(jìn)而讓Emotet下載第2階段的惡意軟件,現(xiàn)行的信息安全防護(hù)系統(tǒng)很可能無法察覺情況。
針對電商賬號的釣魚攻擊
在3月份,研究人員觀察到針對特定電商的釣魚郵件,這些釣魚郵件主要詐騙目標(biāo)為電商平臺的登入賬號密碼。在成功取得賬戶密碼后,除了能利用電商進(jìn)行一些虛假交易外,賬號密碼也可能被拿到其他的社群、電商、電子郵件登入入口嘗試憑證填充(Credential Stuffing)攻擊。釣魚網(wǎng)站的域名都在近期申請,利用三或四級域名并將電商品牌關(guān)鍵詞包含在內(nèi),以獲取收件人進(jìn)一步的信任。
示例圖1:利用三或四級域名讓收件者看到與電商相關(guān)的關(guān)鍵詞從而放下戒心
防范釣魚郵件教學(xué)的釣魚郵件
在這一季,研究人員還發(fā)現(xiàn)一個有趣的案例:教人防范釣魚郵件的教學(xué),內(nèi)容卻是帶有連接釣魚網(wǎng)站的釣魚郵件。不過,隨后這個釣魚頁面遭到停權(quán)。
示例圖2:貨真價實的釣魚郵件,內(nèi)容卻為防范釣魚郵件的教學(xué)
利用俄烏戰(zhàn)爭話題的詐騙郵件
廣受關(guān)注的時事新聞一直都是黑客愛用的工具。2022年2月24日烏俄戰(zhàn)爭爆發(fā),從3月初開始有大量假借戰(zhàn)爭募捐名義的詐騙郵件四處流竄。與過去常見的419scam不同的是,詐騙郵件的內(nèi)容提及由于戰(zhàn)爭的關(guān)系,銀行已經(jīng)無法正常運營,因此募集的是加密貨幣,以比特幣為主。
示例圖3:假借戰(zhàn)爭募捐名義的詐騙郵件募捐的是加密貨幣
以附件ZIP加密的傳輸方式開始被廢除
以附件ZIP加密碼的信息安全防護(hù)方式簡稱為PPAP,一般指將電子郵件附件通過ZIP加密壓縮,再將可以解壓縮的密碼通過另一封郵件發(fā)給對方解密。PPAP的使用存在一些弊端:加密文件與密碼經(jīng)常使用相同的通訊管道分次傳輸、長久使用固定密碼以及加密文件直接遭到攔截并被暴力破解等,這都說明了PPAP的使用并不安全。
以壓縮文件加密分享數(shù)據(jù)的方式雖然十分便利,但由于采用對稱加密,就不太容易抵擋暴力破解;再者,這樣的機制缺乏個人化認(rèn)證識別,無法在審核層面確保發(fā)送文件以及查看文件的雙方安全性。對于企業(yè)來說,較安全的保密數(shù)據(jù)分享方式,還是要以非對稱式加密為加密方法,再搭配身份驗證及存取記錄才比較穩(wěn)妥。
去年底至今年第一季度,日本有多個大型企業(yè)集團(tuán)直接廢除PPAP的傳輸方式,并宣布接收外部郵件時,將會直接過濾帶有密碼的壓縮文件,這個決定恰與Emotet卷土重來的時間點不謀而合。