2018年郵件安全重點回顧
概要
2017年最令人印象深刻的信息安全議題,大概是勒索病毒。2018年,值得注意的信息安全議題有哪些呢?
根據(jù)2018 年ASRC(ASRC 垃圾信息研究中心)郵件安全年度分析結(jié)果顯示,CPU的緩存安全漏洞、挖礦以及虛擬貨幣竊案、臉書泄密與劍橋分析事件,這一些的確是2018年十分重大的信息安全議題,然而,每一年的信息安全議題出現(xiàn)時,總少不了讓人想起利用這些漏洞所進行的電子郵件攻擊:在CPU安全漏洞公布后,2018年1月便出現(xiàn)重大漏洞更新的網(wǎng)釣郵件,該郵件佯稱可下載并安裝修補程序,但實際上為木馬程序Smoke Loader。虛擬貨幣交易平臺Binance,以及日本虛擬貨幣交易所Coincheck都曾遭受過釣魚郵件的攻擊,后者還因此蒙受了巨大的損失。最后,以臉書、Apple等知名公司名義發(fā)送的釣魚郵件更是經(jīng)常可見,受害用戶根本無法直接分辨這些釣魚郵件的可信度,所以只要自己使用了相關(guān)服務(wù),多半都都會成為上鉤的對象。郵件安全已成為各種信息安全措施中,最基礎(chǔ)且無法忽視的重要環(huán)節(jié),以下,我們將針對2018年郵件安全相關(guān)事件與統(tǒng)計,進行重點回顧。
統(tǒng)計
2018年的垃圾郵件活動統(tǒng)計圖如下。全年垃圾郵件占比大約落在78%左右,相較于往年,并沒有太大差異;全年最多垃圾郵件爆發(fā)的月份落在十月,最少的月份則是四月,這兩個月份的垃圾郵件落差約20%。大致上而言,垃圾郵件并沒有消滅或趨緩的跡象。
2018垃圾郵件活動統(tǒng)計圖
在垃圾郵件中,于第一時間即可被防毒軟件偵測出的病毒郵件統(tǒng)計如下。2018年第四季的病毒郵件占比居全年之冠。病毒郵件,大約占全體總郵件量的0.15%。
第一時間可被防毒軟件偵測出的病毒郵件比例
而在其中比例更少,卻不容忽視的APT攻擊,占比雖少風(fēng)險卻十分巨大;2018年三月至五月為全年APT攻擊郵件最活躍的月份。
APT郵件攻擊,在2018年三至五月最為活躍
而詐騙郵件則在2018年的三月份,以及六、七月份有明顯增多的情況。
詐騙郵件,在2018年三月以及六、七月份明顯增多
針對電子郵件附件,ASRC也做了一些統(tǒng)計。一封郵件中,若帶有附件,則文件類型的檔案,收件者應(yīng)特別小心EXCEL類的附件,因其相較于其他文件型的附件,更常被用于攻擊;而壓縮檔方面,常見的兩種壓縮檔ZIP、RAR,以ZIP壓縮檔格式夾帶惡意程序較為常見。若郵件中直接夾帶EXE或BAT等可執(zhí)行檔類型,則超過一半以上的比例,可能是有害的。
郵件中直接夾帶EXE或BAT等可執(zhí)行檔類型,危害比例超過一半
重要事記
根據(jù)2018年ASRC與Softnext守內(nèi)安所觀察的郵件趨勢,大約可歸結(jié)漏洞利用攻擊、釣魚郵件,以及詐騙或恐嚇四種主要型態(tài)。這四種郵件攻擊難度與目的整理如下表,越偏向技術(shù)取向的攻擊難度越高,越偏向社交工程取向的攻擊技術(shù)難度較低。
2018四種常見郵件攻擊型態(tài)與攻擊目的
透過郵件所采取的漏洞攻擊
根據(jù)ASRC統(tǒng)計,2018年最常見的郵件漏洞利用攻擊為OLE漏洞(CVE-2014-4114)與方程式漏洞(CVE-2017-11882),這兩個漏洞都是利用寄送惡意的Office文件附件,誘使收件者以未修補的Office程序開啟后觸發(fā)漏洞,接著進行進一步的攻擊。而在2018年一月份揭露的CVE-2018-0802漏洞,為方程式漏洞(CVE-2017-11882)的變形,主要是利用漏洞修補后仍不完善部分進行攻擊。
這些經(jīng)典穩(wěn)定的漏洞,仍可能會被沿用多年,原因是許多人所使用的Office并不經(jīng)常性的更新,理由可能為非正版Windows、擔(dān)心兼容性或使用上的適應(yīng)性,以及缺乏漏洞修補的概念。
漏洞的利用,通常是復(fù)雜APT攻擊行動的前奏,漏洞本身的直接危害主要是觸發(fā)該漏洞的電腦控制權(quán)被有心人士奪取。透過魚叉式釣魚郵件的手法,將帶有觸發(fā)這些漏洞的惡意郵件寄送予特定對象,誘使特定對象開啟郵件,由于漏洞已觸發(fā),因此可進一步下載并執(zhí)行更具危險性的攻擊程序。CVE-2014-4114的漏洞就曾被用以下載及觸發(fā)BlackEnergy木馬程序,造成烏克蘭大停電的事件。
CVE-2017-11882電子郵件攻擊樣本
除了漏洞攻擊外,2018年的四月至九月間,我們也發(fā)現(xiàn)了利用Office特殊檔案格式所進行的攻擊,擴展名為IQY的檔案。IQY為Microsoft Excel所使用的Web查詢設(shè)定檔,Excel讀取該檔后會連向指定的網(wǎng)址取得數(shù)據(jù),這種攻擊是利用了比較不常被注意到的軟件特性進行攻擊。由于IQY為純文字格式,預(yù)設(shè)的檔案開啟程序又是Excel,攻擊者便利用這個特性,將惡意的網(wǎng)址寫入IQY檔,欺騙使用者開啟檔案后連外取得惡意程序回來執(zhí)行。由于,IQY的純文字內(nèi)容并不含有惡意行為,因此也能有效規(guī)避防毒軟件的檢查。
不曾停止的釣魚郵件
釣魚郵件已經(jīng)不是一個新的名詞,但惡意攻擊者仍樂此不疲,原因是這種攻擊行動幾乎不需要復(fù)雜的技術(shù),只要能釣到幾個有用的帳號密碼,投資報酬率相當(dāng)可觀。
2018年釣魚郵件出現(xiàn)的高峰期是在第四季度。釣魚郵件的內(nèi)容多半是一個關(guān)于你郵箱被停用、升級、非法登錄的理由,并附上一個超鏈接。釣魚郵件本身并不能釣到帳號密碼,他需要搭配一個釣魚網(wǎng)站,而釣魚郵件的最大目的就是誘騙收件者拜訪釣魚網(wǎng)站并填入收件者的帳號密碼。大約有7%的釣魚郵件,其所配合的釣魚網(wǎng)站是免費的網(wǎng)站或表單生成器;約有80%以上的釣魚網(wǎng)站是遭到入侵的Wordpresss內(nèi)容管理系統(tǒng)。
典型的釣魚郵件,佯稱須以個人帳號密碼登錄進行郵件郵箱的升級
釣魚網(wǎng)站的登錄頁面,頁面相關(guān)資訊的形成是動態(tài)的,依據(jù)受害者點擊鏈接中所帶的參數(shù)而有變化
輸入帳號密碼后,雖然看到一個失敗的畫面,但實際上帳號密碼已遭到收集
除了傳統(tǒng)的直接騙取帳號密碼外,2018年三月我們也觀察到一波不尋常的攻擊郵件,這種郵件附帶了一個藏在壓縮檔內(nèi)的.url檔案。
當(dāng)收件人在Windows下解開附件,并點擊.url檔時會詢問是否透過SMB通信協(xié)議取得并執(zhí)行遠端作為Downloader的.wsf檔案;但.url檔有個特殊之處:使用者光是「提取」.url檔案,Windows就會主動向.url要求的位址以SMB通信協(xié)議要求信息.,此時已對遠端惡意主機泄漏收件人使用的IP與其電腦名稱。若url內(nèi)指向的為遠端惡意主機的Samba路徑,且惡意主機上的Samba服務(wù)器啟用了NTLMv2驗證機制,當(dāng)Windows自動拜訪該主機時,就會將使用者的密碼進行哈希運算后送至惡意主機進行驗證。雖然無法從哈希碼反推回實際的密碼,但若是密碼的強度不足,只要對密碼字典表進行哈希編碼后再做比對,就有很高的機會還原密碼,并進一步攻擊企業(yè)外部服務(wù),以此密碼嘗試登錄。這算是釣魚郵件中一個很特別的例子!
隱而不顯的BEC詐騙事件
在2018年,BEC商業(yè)電子郵件詐騙事件發(fā)生頻率并沒有趨緩,根據(jù)ASRC研究中心與Softnext守內(nèi)安的觀察,2018年的BEC郵件出現(xiàn)的高峰期為第三季。
最常遭受BEC詐騙郵件攻擊的產(chǎn)業(yè)以金融業(yè)、高科技制造業(yè)、制造業(yè)的比例最高。某些特定企業(yè)每一到兩個月就會遭到1~2次的BEC郵件攻擊,且這樣的攻擊會持續(xù)3個月以上。在遭遇BEC詐騙事件后,僅8.23%的企業(yè)會尋求專業(yè)安全廠商的協(xié)助,清查鑒識事件背后的信息安全問題。
美國聯(lián)邦調(diào)查局(FBI)網(wǎng)際網(wǎng)絡(luò)犯罪申訴中心在2018年7月發(fā)布的一則消息中指出,自2013年10月起至2018年5月,全球已曝光的BEC詐騙案件計有78,617件,損失金額超過125億美元;從2016年12月到2018年5月,已曝光的BEC詐騙損失金額成長了136%。
BEC詐騙與APT攻擊間有著相同的特性,黑客在事前經(jīng)過長時間監(jiān)控觀察以及縝密計劃后發(fā)動攻擊,一旦被盯上,攻擊就有可能重復(fù)發(fā)生。若只把事后補救重點放在「款項追回」,未正視處理事件背后隱藏的信息安全問題,就算企業(yè)幸運追回款項,難保黑客不會再度發(fā)動攻擊。因此若不幸被詐騙,除了立即采取行動與警方、金融單位聯(lián)系外,也應(yīng)尋求專業(yè)鑒識伙伴協(xié)助,協(xié)助清查鑒識受害電腦與關(guān)聯(lián)網(wǎng)絡(luò),改善企業(yè)信息安全問題避免再度受黑。
比勒索更簡單的「恐嚇郵件」
恐嚇郵件,并沒有夾帶任何的惡意檔案或攻擊代碼,純粹是透過在心理上的恐嚇,迫使收到此類郵件的受害者因害怕而依照郵件的指示言聽計從。這些恐嚇信的收信人名單有不少是從過去社群網(wǎng)站或是大規(guī)模泄漏事件中取得的,因此在其內(nèi)容會提供該收件者過去遭到泄漏的密碼,用以取信收件者相信自己的帳號確實遭到入侵。除了以密碼恫嚇收信者外,也有部分是用誆稱收信人電腦已被植入病毒,并透過收件者電腦的網(wǎng)路攝影機拍下一些敏感畫面,或收信者有機敏數(shù)據(jù)在入侵者手上的說詞來達到恐嚇的目的。
這類郵件最初皆由英文寫成,但在2018下半年后觀察到有語言變形的趨向,但不見得是直接攻擊使用該語言最多的地區(qū);再者,這類恐嚇信通常要求使用比特幣來進行支付,對于使用比特幣較不方便或禁止使用的地區(qū),其恐嚇取財成功的機率應(yīng)不會太高。
恐嚇郵件,并沒有夾帶任何的惡意檔案或攻擊代碼,純粹是透過在心理上的恐嚇
2019趨勢與結(jié)語
2018年曾出現(xiàn)的攻擊手法,2019年可能多半都還能沿用,來自電子郵件的攻擊從來不會絕跡,只會變形。2019年出現(xiàn)的攻擊郵件夾帶附件的比例可能會略為下降,以超鏈接配合遭到入侵的網(wǎng)站進行惡意程序下載攻擊,或騙取帳號密碼為主要攻擊方法。然而要特別留意的是,隨著多國語言自動翻譯技術(shù)的進步,未來的郵件攻擊的內(nèi)文會更加流暢的以本地化語言進行社交工程攻擊。
因此,教育使用者提高信息安全意識固然重要,但若光是要求使用者提升安全意識,來防御多變的郵件攻擊恐怕已不足矣,企業(yè)更應(yīng)提供使用者相較安全的電子郵件使用環(huán)境,如導(dǎo)入SPAM SQR ADM進階防御機制,以降低遭受攻擊的風(fēng)險。
【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
