文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

ASRC 2021 年第二季度电子邮件安全观察

2024-12-03 00:50

关注

[[412953]]

第二季整体垃圾邮件量相较上一季增加 50%,带有 Office 恶意文件的攻击邮件则较上一季增加 3.5 倍,脱机钓鱼的数量成长了 2.4 倍;针对 Microsoft Office 漏洞利用则以 CVE201711882 及 CVE20180802 为主。

守内安与ASRC针对第二季重要的攻击手法与样本进行以下分析:

诈骗及钓鱼邮件仍十分盛行

第二季全球疫情因为病毒变种的关系,许多地区仍实施远程工作或在家上班。钓鱼邮件看似威胁性不大,可一旦账号密码被钓,攻击者即可能透过开放的远程工作对外服务,及单一账号认证服务 (SSO,Single sign-on) 合法使用企业开放的服务,而形成入侵企业的破口。

钓鱼及诈骗邮件在第二季非常盛行

连外下载的恶意 Office 文件

第二季,我们发现许多恶意的 Office 文件样本。这些 Office 文件样本的攻击方式不利用漏洞,也未包含可疑的宏或 VBA 等操作,而是单纯的利用 XML连接外部开启另一个恶意文件。这种样本在今年初就开始流窜,到了第二季,有明显增多的趋势。

以订单作为社交工程的手段,诱骗受害者开启恶意文件

这种连外开文件的恶意 Office 文件样本,多半以 docx 的方式夹在电子邮件的附件中,少数用 xls 及ppam 的方式做夹带。连外下载超链接会透过短网址,如:xy2.eu、bit.ly、linkzip.me、bit.do、u.nu、is.gd 或其他经过编码的网址藏身;下载的恶意文件则多为 .wbk (Microsoft Word 备份)、.wiz (Microsoft Wizard File)、.dot (Microsoft Word 范本)、.doc,虽然有些类型的文档不常见,但只要计算机安装 Microsoft Office 相关的软件,就能开启这些恶意文件并执行。恶意文件被执行后,会向中继主机抓取 vbc.exe 或 reg.exe 并执行,接着成为常驻的后门程序。

双扩展名的恶意文档

第二季出现不少双重扩展名的攻击性电子邮件。由于部分自动程序或操作习惯的缘故,会出现一个档案看似有两个扩展名,而计算机对于这种档案的判读是以最后一个扩展名为主。

以下整理出需要特别留意的双重扩展名:

其中比较特别的是 .pdf.ppam 的攻击,这种攻击利用链接至一个短网址,再转向 Google 的blogspot 服务,透过解碼 blogspot 服务暗藏的信息,再连往俗称「网站时光机」archive.org 的服务下载攻击程序。这种种的行为,都是为了躲开一层层的信息安全防护关卡。

.pdf.ppam 的攻击附件被执行后,会透过暗藏的 vba 向外下载恶意文件

暗藏的 vba 连往 bitly.com 的短网址位置

短网址指向空白内容的 Google blogspot 页面

玄机藏在网页的原始码中,恶意程式的编码文件,被放在俗称「网站时光机」archive.org 的合法服务内

编码文件进行译码,可看到完整的攻击程序

总结

综合上述样本的攻击来看,使用不易侦测的手法来躲避触发安全警报是攻击者的趋势,但我们从这些样本也发现,由于过度的迂回,及使用模糊的合法服务,这些都会与企业一般的沟通互动行为相违背。因此,防护的安全策略,就可以从这些差异中被制定出来!

除了上述介绍的攻击样本外,我们也看见了加入更多混淆的 CVE201711882 攻击,因此安全设备的特征更新不可或缺;而在某些攻击邮件的标头,有时也能发现被隐藏的重要信息,比方 References 的标头有时会透露出同样遭受此波攻击的受害者或企业,在调查事件时便可对攻击者的目的进行推演。

 

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯