ASRC 2019年郵件安全趨勢回顧
概觀
根據(jù)ASRC 研究中心 (Asia Spam-message Research Center) 與守內(nèi)安的觀察,2019 年總體來說,垃圾郵件與病毒郵件的數(shù)量呈現(xiàn)均勻分布,沒有哪個月份特別爆量,但是相較于 2018 年,數(shù)量稍有增長。郵件量爆發(fā)、詐騙郵件與釣魚攻擊在 2019 年第四季度達(dá)到全年高峰;BEC詐騙郵件的數(shù)量雖然降低,但是BEC事件并未因此緩和。CVE-2014-4114、CVE-2018-0802、CVE-2017-11882這三個 Microsoft Office 文件漏洞利用全年可見;2019 年第一季度被揭露的WinRAR 漏洞 (包含CVE-2018-20250、CVE-2018-20251、CVE-2018-20252與CVE-2018-20253),皆被用于APT攻擊或是滲透測試、紅隊演練。
統(tǒng)計
1. 垃圾郵件占比趨勢統(tǒng)計
攻擊" title="郵件安全/網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊">
2019 年垃圾郵件平均約占總體郵件的83.67%,相較于2018年的占比增加了 6% 左右;2019 年每個月的垃圾郵件占比幾乎都在80%以上,月份之間的波動很平均,且多數(shù)月份垃圾郵件占比都較 2018 年來得高。
2. 垃圾郵件中的病毒郵件
垃圾郵件中,一般病毒的占比大約在0.1~0.2% 之間。2018 年在第四季度的波動幅度較大,2019 年則平均占比都維持在0.15%之上。
2. SMTP DoS攻擊
同一個 IP 集中發(fā)送大量郵件,并可能造成SMTP服務(wù)阻塞或中斷的攻擊,多半發(fā)生在第四季度,可能因為第四季度為消費旺季,雙十一、雙十二、圣誕節(jié)與跨年接踵而來,搭配 EDM 與 Phishing 一起出現(xiàn)。但是 2019除了第四季度外,在四月及六月類型的攻擊也都有明顯上升的跡象。
3. 郵件附件類型
攻擊" title="郵件安全/網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊">
電子郵件中,常用的附件類型,可能被用以攻擊的機(jī)率大概有多少呢?我們統(tǒng)計了2018、2019年的數(shù)據(jù),最常用來攻擊的辦公文件為Word文件 (注:凡含有不當(dāng)目的的Word文件皆從嚴(yán)認(rèn)定),其次為Excel文件;多數(shù)操作系統(tǒng)都可以直接支持ZIP解壓縮,因此ZIP壓縮格式較常被用來夾帶惡意文件。
4. APT攻擊郵件
攻擊" title="郵件安全/網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊">
攻擊" title="郵件安全/網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊">
2018 年 APT 攻擊郵件最常見的是 Office 漏洞利用的手法,較常被利用的漏洞編號分別是 OLE 漏洞 (CVE-2014-4114) 與方程式漏洞(CVE-2017-11882)。
2019 年 APT 攻擊郵件最常見利用的Office漏洞編號為CVE-2014-4114、CVE-2018-0802、CVE-2017-11882,大致上承繼了 2018 年的利用情況。
5. 詐騙郵件
攻擊" title="郵件安全/網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊">
攻擊" title="郵件安全/網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊">
2018 年的 BEC 與 419 詐騙占比大約各占一半。2019 年 BEC 與 419 詐騙占比發(fā)生了不一樣的變化,BEC 詐騙與 419 詐騙郵件總量相較 2018 年的總量下降;雖然 BEC 詐騙郵件下降的幅度高于 419 詐騙,并不表示 BEC 詐騙的風(fēng)險跟著下降了。相反,BEC 詐騙郵件顯得更有策略性,不會過早介入商談中的交易,也減少接觸不必要收到 BEC 郵件的人員,大幅提高 BEC 詐騙的成功機(jī)率。
重要趨勢
1. 信任來源飽受挑戰(zhàn)
電子郵件的可信度,在近年來不停地受到挑戰(zhàn),尤其 BEC 事件高發(fā)的情況下,對于郵件中提及異常的變更事項,都需要特別留意,尤其是匯款賬號的變更,一定要通過電子郵件以外的渠道再次進(jìn)行確認(rèn)。
其次需要特別注意的是在電子郵件內(nèi)的超鏈接。并不是超鏈接帶有可信賴的域名,就表示這樣的超鏈接不帶有威脅!也不是所有惡意的超鏈接都必然會下載惡意軟件,或需要被攻擊者配合輸入賬號密碼相關(guān)數(shù)據(jù),畢竟,并非所有人使用網(wǎng)絡(luò)服務(wù)都會隨手注銷。在 2017 年開始出現(xiàn)釣魚郵件結(jié)合 Google OAuth,就是企圖蒙騙收件人通過點擊一個共享文件的鏈接,授與攻擊者存取Google App 的權(quán)限,如今類似的手法也開始出現(xiàn)在Office 365。
最后,白名單一定要慎用,看似來自熟悉的同事、供應(yīng)商的郵件,也有可能隱藏惡意攻擊!
供應(yīng)鏈攻擊是國家級資助的 APT 攻擊常用的手段。攻擊者的主要目標(biāo)可能具備了很高的警戒意識與防護(hù)能力,因此攻擊者可從主要目標(biāo)的合作對象下手,之后再通過主要目標(biāo)對合作對象的信任,直接穿過各種防護(hù)措施進(jìn)行攻擊。
攻擊" title="郵件安全/網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊">
(合法域名空間遭到濫用的實例)
2. 釣魚郵件與詐騙郵件泛濫
2019 年電子郵件中,帶有惡意鏈接的數(shù)量,大約是 2018 年的 2.8 倍。釣魚郵件為了取信收件人點擊,多半會使用一些當(dāng)?shù)鼗谜Z及社交工程的手法。由于釣魚郵件主要目的是騙取網(wǎng)絡(luò)服務(wù)的賬號密碼或其他機(jī)密數(shù)據(jù),因此多半在點擊之后,會通過瀏覽器連往一個收集這些機(jī)密資料的釣魚網(wǎng)站或釣魚窗體,再誘騙受害者輸入其機(jī)密數(shù)據(jù)。
瀏覽器的開發(fā)商也注意到類似的問題,于是紛紛在網(wǎng)址列加入了檢查與提醒的功能,希望能藉此保護(hù)使用者。然而攻擊者也開始改變做法,在電子郵件中直接夾入一個惡意的靜態(tài) HTML 頁面,誘騙收件人填入機(jī)密數(shù)據(jù),但是這個頁面通過瀏覽器打開時,網(wǎng)址列顯示的是本地端的儲存地址而非遠(yuǎn)程的釣魚網(wǎng)站。當(dāng)收件人填完數(shù)據(jù)按下發(fā)送后,瀏覽器即以 POST 搭配加密聯(lián)機(jī)的方式,將機(jī)密數(shù)據(jù)送往釣魚網(wǎng)站,這樣的釣魚手段能略過多數(shù)的瀏覽器保護(hù)措施。這類型的攻擊郵件,在 2019 年第四季度大量出現(xiàn)。
攻擊" title="郵件安全/網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊">
(惡意的靜態(tài)HTML釣魚郵件)
3. Office 文件漏洞充滿威脅
屢試不爽的Office 文件漏洞,一直是攻擊者愛用的武器之一。除了作業(yè)人員、防病毒軟件對文檔的警覺性較低外,許多人所使用的Office 不會經(jīng)常性更新。除了公司預(yù)算的問題外,原本就使用了非正版Windows,或擔(dān)心兼容性、使用上的適應(yīng)性,以及缺乏漏洞修補(bǔ)的概念,都是使用者不愿更新的原因。
根據(jù) ASRC 的統(tǒng)計,2018 年最常見的郵件漏洞利用攻擊為 OLE 漏洞 (CVE-2014-4114) 與方程式漏洞(CVE-2017-11882)。2019 年,CVE-2014-4114 仍持續(xù)被利用,且在第三季度爆發(fā)大量的攻擊樣本,主要目標(biāo)產(chǎn)業(yè)為電子、食品、醫(yī)療相關(guān)產(chǎn)業(yè);CVE-2018-0802 則做為 CVE-2017-11882 其后續(xù)的衍生變形攻擊持續(xù)存在。2020 年初剛剛被披露的 CVE-2020-0674 及其后續(xù)影響力,我們也將持續(xù)關(guān)注。
結(jié)論
2020年是5G基礎(chǔ)建設(shè)部署、成熟加速的一年,隨著整體網(wǎng)速的加快,移動應(yīng)用服務(wù)將更趨復(fù)雜化,因此,個人信息遭到刺探、外泄的速度與規(guī)模、攻擊的速度及頻率,都會跟著大幅提高;而惡意軟件也可以不必再拘泥文件大小的限制,更可朝功能完備的方向發(fā)展;加上量子計算機(jī)、云計算的推波助瀾,信息安全事故的發(fā)生與危害程度可能是過去難以想象的。電子郵件仍會是網(wǎng)絡(luò)攻擊重要的入侵渠道,單純的賬號密碼防護(hù)力漸趨薄弱,多因素驗證已是勢在必行。
