2022第一季,所有企業都能明顯感覺到的威脅郵件,即是Emotet的濫發。Emotet的濫發,使用了各種藏匿及混淆的手段,用以躲避防毒及資安防護軟體的檢測,而其中最重要的一個手段就是壓縮加密。在傳輸檔案前先經過「壓縮加密」,這在過去的用途,多半是為了保護機敏文件在傳輸過程中,不被傳遞管道的中間人取得或窺探的防護手段;而現在,卻經常成為惡意程式用以躲避資安檢測的保護傘。在濫用情況日趨惡化的情況下,也開始迫使企業開始重新思考是否改變機敏資料的傳遞方式,而直接將郵件內的加密壓縮檔案視為可疑或威脅的來源。
ASRC 研究中心與中華數位科技,分享在這一季觀察到的四個特殊郵件案例:
1. Emotet 再度現蹤,以加密惡意附件躲避防禦偵測
雖然 2021 年1月下旬歐洲刑警組織與其他8個國家執法機構聯手破獲了Emotet殭屍網路,但新的Emotet伺服器和惡意軟體樣本已於2021/11/14出現,並透過電子郵件大量散播。Emotet的垃圾郵件攻擊行動所夾帶於郵件裡的惡意Office文件多為xls、xlsx、xlsm、doc、docx、docm...等等,部分以zip加上密碼的方式,躲避資安防禦工事的偵測。
這一波的Emotet攻勢,與2021第四季相比較,郵件中帶有惡意Office文件的數量成長了近40%;郵件中帶有惡意Zip文件,成長了近一倍。
2. 針對電商帳號的釣魚攻擊
在三月份,我們觀察到針對特定電商的釣魚郵件,這些釣魚郵件主要詐騙的目標為電商平台的登入帳號密碼。在成功取得帳密後,除了能利用電商進行一些虛假交易外,帳號密碼也可能被拿到其他的社群、電商、電子郵件登入入口嘗試憑證填充 (Credential Stuffing) 攻擊。釣魚網站的域名都在近期申請,並利用三或四級域名將電商品牌關鍵字包含在內,讓收件者因此放下戒心。
3. 防範釣魚郵件教學的釣魚郵件
在這一季發現一個有趣的案例:教人防範釣魚郵件的教學,內容卻是帶有連往釣魚網站的釣魚郵件。正當我們好奇想了解這個網站想釣是哪些資料時,釣魚頁面已經顯示這個頁面遭到停權。
4. 利用烏俄戰爭議題的詐騙郵件
廣受關注的實事議題一直都是駭客愛用的工具。2022年2月24日爆發烏俄戰爭,從3月初開始有大量假藉戰爭募款的詐騙郵件四處流竄。與過去常見的419scam不同的地方是,詐騙信的內容提及由於戰爭的關係,銀行已經無法正常作業,因此募集的是以比特幣為主的加密貨幣。
日本政府與企業開始廢除附件 ZIP 加密的傳輸方式
在日本已行之有年,以附件ZIP加密碼的資安防護方式簡稱為PPAP。PPAP是由4個詞所組成,Password付きzipファイルを送ります、Passwordを送ります、An号化、Protocol(プロトコル)。一般指將電子郵件夾帶的附件,透過ZIP加密壓縮,再將可以解壓縮的密碼,透過另一封郵件發給對方解密。PPAP的使用有許多疑慮與弊病存在:加密檔案與密碼經常使用相同的通訊管道分次傳輸、長久使用固定密碼以及加密檔案直接遭到攔截並暴力破解的挑戰等,都說明了PPAP的使用並不安全。去年底及今年第一季,日本有多個大型企業集團直接廢除PPAP的傳輸方式,並宣布接收外部郵件時,將會直接濾掉帶有密碼的壓縮檔,這個決定恰與Emotet的捲土重來大量濫發的時間點不謀而合。
附件 ZIP 加密傳遞機敏資料,難抵暴力破解
以壓縮檔加密分享機敏資料的方式雖然十分便利,但由於採用對稱加密,因此機敏資料就不容易抵擋暴力破解;再者,這樣的機制缺乏個人化認證識別,無法在稽核層面確保給出檔案的對象以及查看檔案的雙方,究竟是機敏資料亦或惡意攻擊。
用於企業較安全的機敏資料分享方式,還是要以非對稱式加密為加密方法,再搭配身分驗證及存取紀錄較為安全可靠。例如利用中華數位科技Mail SQR Expert 的郵件加解密功能,提供 S/MIME、PGP 公私鑰設定,可透過政策設定需要簽章/加密的信件條件。或整合第三方檔案加解密系統至信件流,接收信件時,可自動將檔案依各部門金鑰加密後再傳送,防止內部人員將檔案再轉送給其他部門;寄送信件時,也可依有簽保密協定的廠商人員,自動將檔案解密後再傳送。
基礎的郵件防禦,無法對抗駭客日益精進的進階攻擊
為了達到入侵的目的,駭客攻擊手法持續演進,發展出各種能夠躲避防禦機制、騙過人心的攻擊。ASRC 研究中心觀察,超過 90% 的駭客攻擊以電子郵件為入侵管道,若企業只具備基礎的郵件防禦,已無法對抗駭客日益精進的進階攻擊。
中華數位科技 SPAM SQR 除了以多層次過濾機制對抗入侵,其 ADM (Advanced Defense Module) 進階防禦機制,能自動解封裝檔案進行掃描,可發掘潛在代碼、隱藏的邏輯路徑及反組譯程式碼,以利進行進階惡意程式比對。可進階防禦魚叉式攻擊、匯款詐騙、APT 攻擊郵件、勒索病毒以及新型態攻擊等郵件。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19
2024-11-14