詐騙釣魚郵件隨疫情肆虐雙副檔名惡意文件激增 - 網管人

.pdf.ppam的攻擊附件被執行後，會透過內藏的vba向外下載惡意程式。

內藏的vba連往bitly.com的縮址位置。

縮址指向空白內容的 ... 【學知識、拿好禮】Citrix線上高峰會免費報名中 熱門活動精彩回顧都在這 >深度專訪 郵件安全 釣魚郵件 惡意攻擊 新冠肺炎 ASRC發表2021年第二季電子郵件安全觀察 詐騙釣魚郵件隨疫情肆虐　雙副檔名惡意文件激增 2021-08-09 高銘鍾 ASRC垃圾訊息研究中心調查發現，第二季整體垃圾郵件量相較上一季增加50%，帶有Office惡意文件的攻擊郵件則較上一季增加3.5倍，而離線釣魚的數量成長了2.4倍；針對MicrosoftOffice漏洞利用，則以CVE201711882及CVE20180802為主。

本文將針對第二季重要的攻擊手法與樣本進行分析。

  疫情因疫苗的開發與普及，露出了一線曙光，許多國家開始解封，部分在家工作的人員重回辦公室；就在此時，由於變種病毒對疫苗的抗性，讓原本開始解封的國家又拉起警報，第二季充滿了希望與驟變，資訊安全策略的調整是否也能跟著及時調整與因應呢？ 第二季整體垃圾郵件量相較上一季增加50%，帶有Office惡意文件的攻擊郵件則較上一季增加3.5倍，離線釣魚的數量成長了2.4倍；針對MicrosoftOffice漏洞利用，則以CVE201711882及CVE20180802為主。

以下針對第二季重要的攻擊手法與樣本進行分析。

釣魚及詐騙郵件在第二季非常盛行。

以訂單作為社交工程的手段，誘騙受害者開啟惡意文件。

詐騙及釣魚郵件仍十分盛行 第二季全球疫情因為病毒變種的關係，許多國家地區仍實施遠端工作或在家上班。

釣魚郵件看似威脅性不大，一旦帳號密碼被釣，攻擊者即可能透過開放的遠端工作對外服務，及單一帳號認證服務（SingleSign-on，SSO）合法使用企業開放的服務，而形成入侵企業的破口。

外連下載的惡意Office文件 第二季發現了許多惡意的Office文件樣本，這些Office文件樣本的攻擊方式不利用漏洞，也未包含可疑的巨集或VBA等操作，而是單純地利用XML外連開啟另一個惡意文件。

這種樣本在今年初就開始流竄，到了第二季，有明顯增多的趨勢。

這種外連開檔的惡意Office文件樣本，多半以docx的方式夾在電子郵件的附件中，少數用xls和ppam的方式做夾帶。

外連下載超連結會透過縮址，如xy2.eu、bit.ly、linkzip.me、bit.do、u.nu、is.gd或其他經過編碼的網址藏身；下載的惡意文件則多為.wbk（MicrosoftWord備份）、.wiz（MicrosoftWizardFile）、.dot（MicrosoftWord範本）、.doc，雖然有些類型的檔案不常見，但只要電腦安裝MicrosoftOffice相關軟體，就能開啟這些惡意文件並執行。

惡意文件被執行後，會向中繼主機抓取vbc.exe或reg.exe並執行，接著成為常駐的後門程式。

雙副檔名的惡意檔案 第二季出現不少雙重副檔名的攻擊性電子郵件。

由於部分自動程序或操作習慣的緣故，會出現一個檔案看似有兩個副檔名，而電腦對於這種檔案的判讀是以最後一個副檔名為主（表1）。

其中比較特別的是.pdf.ppam的攻擊，這種攻擊利用連結至一個縮址，再轉向Google的Blogspot服務，透過解碼Blogspot服務內藏的訊息，再連往俗稱「網站時光機」archive.org的服務下載攻擊程序。

這種種的作為，都是為了躲開一層層的資訊安全防護關卡。

.pdf.ppam的攻擊附件被執行後，會透過內藏的vba向外下載惡意程式。

內藏的vba連往bitly.com的縮址位置。

縮址指向空白內容的GoogleBlogspot頁面。

玄機藏在網頁的原始碼中，惡意程式的編碼檔，被放在俗稱「網站時光機」archive.org的合法服務內。

編碼檔進行解碼，可看到完整的攻擊程序。

結語 綜合上述樣本的攻擊來看，使用不易偵測的手法來躲避觸發資安警報是攻擊者顯見的走向，但從這些樣本也發現，由於過度的迂迴以及使用模糊的合法服務，這些都會與企業一般的溝通互動行為相違背。

因此，防護的資安策略，就可以從這些差異中被制定出來！ 除了上述介紹的攻擊樣本外，也看見了加入更多混淆的CVE201711882攻擊，因此資安掃描設備的特徵更新不可或缺；而在某些攻擊郵件的標頭，有時也能發現被隱藏的重要訊息，比方References的標頭有時會透露出同樣遭受此波攻擊的受害者或企業，在調查事件時便可對攻擊者的目的進行推敲。

＜本文作者：ASRC垃圾訊息研究中心（AsiaSpam-messageResearchCenter）長期與中華數位科技合作，致力於全球垃圾郵件、惡意郵件、網路攻擊事件等相關研究事宜，並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式，促成產官學界共同致力於淨化網際網路之電子郵件使用環境。

更多資訊請參考www.asrc-global.com＞   分享 您可能感興趣的文章 推薦文章 最新上架 more→ 資服產業技能需求高　多元課程深耕培訓人才 2022-06-07 配置Pool/VirtualService　讓NSXALB正常運作 2022-06-07 伺服器革新數位大未來　現代化改造推進綠色永續 2022-06-06 啟用內建SBC機制　單機打造高效軟體定義儲存 2022-06-06 全球智慧製造中心放榜　企業分散供應鏈可資參考 2022-06-06 可觀測性造就智慧化維運 2022-06-02 雲科大IRIS中心助產業AI化　客製專案搞定場域痛點 2022-06-01 IT採購品質不如預期？　專家鑑定解契約驗收爭議 2022-06-01 設蜜罐陷阱引誘駭客上鉤　藉Shodan現形入侵手法 2022-05-30 Supermicro搭載NVIDIAGraceCPU伺服器　適用於HPC、資料分析和雲端遊戲應用程式 2022-05-30 人氣點閱 more→ 低地球軌道網路打破界限　衛星寬頻無線上網有譜 2022-05-10 設蜜罐陷阱引誘駭客上鉤　藉Shodan現形入侵手法 2022-05-30 營業秘密不僅須保守資訊　更要提高還原工程難度 2022-05-24 PureStorage擴充Portworx產品陣容　提升開發人員生產力 2022-05-30 雲科大IRIS中心助產業AI化　客製專案搞定場域痛點 2022-06-01 用K8s解決維運負擔 2022-05-27 IT採購品質不如預期？　專家鑑定解契約驗收爭議 2022-06-01 主要挑戰決定轉型方向　雲服務貼近金融需求 2022-05-12 ICANNAPAC-TWNIC合作交流論壇登場 2022-05-27 Supermicro搭載NVIDIAGraceCPU伺服器　適用於HPC、資料分析和雲端遊戲應用程式 2022-05-30 月刊雜誌 第196期 2022年5月 配置Pool/VirtualService　讓NSXALB正常運作 more→ 精選影音 翻轉網路與資安思維－將零信任網路分段擴展至數據中心—Aruba Poly遠距通訊協作方案　引您飛進數位新時代 從網路層圍堵勒索病毒威脅—CheckPoint more→ 請輸入您的E-mail 追蹤我們Featrueus ... 確定 本站使用cookie及相關技術分析來改善使用者體驗。

瞭解更多 我知道了!