ASRC 2021年電子郵件趨勢安全回顧

2021 年仍壟罩於 COVID-19 疫情之下，相較於 2020 年，對於WFH (Work From Home 居家辦公) 的工作型態已漸適應，資安部署不再只是慌亂應對遠端工作帶來的資安事件，而是全新型態的適應性部署。

電子郵件安全趨勢

中華數位科技與 ASRC 研究中心觀察，相較於2020年，2021年度的垃圾郵件總量成長幅度約為8%，但垃圾郵件的大小卻成長了43%，這對郵件伺服器的儲存空間，以及郵件掃描過濾的效能帶來了不小負擔；但垃圾郵件亂槍打鳥式的濫發濫寄情況，卻呈現下降的趨勢。威脅郵件的部分：利用免費表單生成、架站平台進行的釣魚攻擊郵件成長了210%；一般性詐騙郵件上升了近60%；偽冒為快遞、郵務相關詐騙成長了近25倍；針對企業交易時所進行的BEC攻擊郵件數量，則較2020年成長了近8倍。在WFH的工作型態下，偽冒、詐騙等社交工程手法的攻擊變得更加猖獗；多數企業似乎也察覺了這樣的趨勢，因此，2021年企業內部實施社交工程演練的郵件，較2020年上升了近90%。

漏洞利用並非APT攻擊專利
APT 攻擊大多以電子郵件為起點，直接寄送可利用 Office 漏洞的惡意文件來嘗試入侵企業內部，以進行竊資、部署勒索軟體等目的。但是既有 Office 漏洞利用並非APT攻擊的專利，大量濫發的病毒郵件中，也充斥著漏洞利用的手法。

2021 年常見的既有Office漏洞利用狀況：

惡意文件內的惡意文件，用來隱藏真正的攻擊意圖

2021 年有大量的惡意 Office 文件，文件中並無漏洞利用的跡象；也沒有 VBA 的使用，它利用的是 Office 的 XML 結構來隱藏遠端真正包含攻擊意圖的另一個惡意文件。當收件者打開惡意 Office 文件時，Word 就會去遠端抓取另一個惡意 Word 檔案，並嘗試打開它，進一步入侵受害者的電腦。
這樣的攻擊，讓真正有惡意意圖的檔案不容易被防禦機制抓取分析，也能在接觸到真正要攻擊的對象時，才暴露惡意文件的本體。

Excel的花式攻擊手段，躲避安全掃瞄

我們也發現 Excel 在2021年，有著各種花俏的攻擊手段，除了前述提及的利用 XML 結構的攻擊模式外，由於 Excel 可以針對檔案、表單或 VBA 程式碼做局部或全部的加密，再加上使用 Microsoft Excel 電子表格的 VelvetSweatshop 預設密碼，就能讓惡意的 Excel 檔躲過安全掃描；而將惡意的 Excel 檔案存成為 .xslb 格式，也具有讓惡意程式碼不被檢查出的效果。

合法服務遭到濫用

攻擊者深知，要發送一個不容易被安全措施偵測出的攻擊郵件，首先要從合法來源寄送，並且盡量避免直接夾帶惡意檔案或程式碼，真正的攻擊，應該放在夾帶的外部超連結。我們在 2021 年也看到了許多合法來源發送的攻擊郵件，數量較多且較為知名的，都是電子報或行銷郵件的派報系統，諸如：Salesforce、Sendgrid…等。

遭到濫用的發報系統，似乎不是因為某種系統缺陷而直接被用來派送惡意郵件，比較像是一些合法帳號遭到了釣魚、或從其他方面洩漏了機敏資訊後，利用這些機敏資訊合法登入派報系統後再進行濫發。

外部超連結部分，除了一般常見的免費表單生成器被用於釣魚外，許多雲端服務的API也被用於撰寫釣魚頁面或儲存惡意檔案。

信賴成為新的挑戰

過去，白名單、內外網、安全區域的區別，都在於信賴的是一個特定的對象或區域。並且信賴的「對象」或「區域」一旦設定完成後，幾乎沒有一個重新審視的基準或週期。攻擊者會設法入侵或控制這些被信賴的「對象」或「區域」，如此一來就可用特權進行深度的竊資或破壞。疫情影響下的世界，遠端操作、有距離的人際互動，十分難以判斷原本信賴的對象是否受到控制或入侵。新的一年，不論疫情是否結束，攻擊者仍會以社交工程、詐騙手段來讓自己更容易成為被信賴的「對象」，新的資安防禦措施，就不能單單的信賴對象而不稽核這個對象的「行為」是否有異。零信任的資安架構是基礎，加上內部使用者與裝置行為分析會是較為堅實的防禦措施。

關於 ASRC 垃圾訊息研究中心

垃圾訊息研究中心 (Asia Spam-message Research Center)，長期與中華數位科技合作，致力於全球垃圾郵件、惡意郵件、網路攻擊事件等相關研究事宜，並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式，促成產官學界共同致力於淨化網際網路之電子郵件使用環境。
更多資訊請參考 www.asrc-global.com