ASRC 2022年第一季電子郵件安全觀察

2022第一季，所有企業都能明顯感覺到的威脅郵件，即是Emotet的濫發。Emotet的濫發，使用了各種藏匿及混淆的手段，用以躲避防毒及資安防護軟體的檢測，而其中最重要的一個手段就是壓縮加密。在傳輸檔案前先經過「壓縮加密」，這在過去的用途，多半是為了保護機敏文件在傳輸過程中，不被傳遞管道的中間人取得或窺探的防護手段；而現在，卻經常成為惡意程式用以躲避資安檢測的保護傘。在濫用情況日趨惡化的情況下，也開始迫使企業開始重新思考是否改變機敏資料的傳遞方式，而直接將郵件內的加密壓縮檔案視為可疑或威脅的來源。

ASRC 研究中心與中華數位科技，分享在這一季觀察到的四個特殊郵件案例：
1. Emotet 再度現蹤，以加密惡意附件躲避防禦偵測

雖然 2021 年1月下旬歐洲刑警組織與其他8個國家執法機構聯手破獲了Emotet殭屍網路，但新的Emotet伺服器和惡意軟體樣本已於2021/11/14出現，並透過電子郵件大量散播。Emotet的垃圾郵件攻擊行動所夾帶於郵件裡的惡意Office文件多為xls、xlsx、xlsm、doc、docx、docm...等等，部分以zip加上密碼的方式，躲避資安防禦工事的偵測。

這一波的Emotet攻勢，與2021第四季相比較，郵件中帶有惡意Office文件的數量成長了近40%；郵件中帶有惡意Zip文件，成長了近一倍。

2. 針對電商帳號的釣魚攻擊

在三月份，我們觀察到針對特定電商的釣魚郵件，這些釣魚郵件主要詐騙的目標為電商平台的登入帳號密碼。在成功取得帳密後，除了能利用電商進行一些虛假交易外，帳號密碼也可能被拿到其他的社群、電商、電子郵件登入入口嘗試憑證填充 (Credential Stuffing) 攻擊。釣魚網站的域名都在近期申請，並利用三或四級域名將電商品牌關鍵字包含在內，讓收件者因此放下戒心。

3. 防範釣魚郵件教學的釣魚郵件

在這一季發現一個有趣的案例：教人防範釣魚郵件的教學，內容卻是帶有連往釣魚網站的釣魚郵件。正當我們好奇想了解這個網站想釣是哪些資料時，釣魚頁面已經顯示這個頁面遭到停權。

4. 利用烏俄戰爭議題的詐騙郵件

廣受關注的實事議題一直都是駭客愛用的工具。2022年2月24日爆發烏俄戰爭，從3月初開始有大量假藉戰爭募款的詐騙郵件四處流竄。與過去常見的419scam不同的地方是，詐騙信的內容提及由於戰爭的關係，銀行已經無法正常作業，因此募集的是以比特幣為主的加密貨幣。

日本政府與企業開始廢除附件 ZIP 加密的傳輸方式

在日本已行之有年，以附件ZIP加密碼的資安防護方式簡稱為PPAP。PPAP是由4個詞所組成，Password付きzipファイルを送ります、Passwordを送ります、An号化、Protocol（プロトコル）。一般指將電子郵件夾帶的附件，透過ZIP加密壓縮，再將可以解壓縮的密碼，透過另一封郵件發給對方解密。PPAP的使用有許多疑慮與弊病存在：加密檔案與密碼經常使用相同的通訊管道分次傳輸、長久使用固定密碼以及加密檔案直接遭到攔截並暴力破解的挑戰等，都說明了PPAP的使用並不安全。去年底及今年第一季，日本有多個大型企業集團直接廢除PPAP的傳輸方式，並宣布接收外部郵件時，將會直接濾掉帶有密碼的壓縮檔，這個決定恰與Emotet的捲土重來大量濫發的時間點不謀而合。

附件 ZIP 加密傳遞機敏資料，難抵暴力破解
以壓縮檔加密分享機敏資料的方式雖然十分便利，但由於採用對稱加密，因此機敏資料就不容易抵擋暴力破解；再者，這樣的機制缺乏個人化認證識別，無法在稽核層面確保給出檔案的對象以及查看檔案的雙方，究竟是機敏資料亦或惡意攻擊。

用於企業較安全的機敏資料分享方式，還是要以非對稱式加密為加密方法，再搭配身分驗證及存取紀錄較為安全可靠。例如利用中華數位科技Mail SQR Expert 的郵件加解密功能，提供 S/MIME、PGP 公私鑰設定，可透過政策設定需要簽章/加密的信件條件。或整合第三方檔案加解密系統至信件流，接收信件時，可自動將檔案依各部門金鑰加密後再傳送，防止內部人員將檔案再轉送給其他部門；寄送信件時，也可依有簽保密協定的廠商人員，自動將檔案解密後再傳送。

基礎的郵件防禦，無法對抗駭客日益精進的進階攻擊

為了達到入侵的目的，駭客攻擊手法持續演進，發展出各種能夠躲避防禦機制、騙過人心的攻擊。ASRC 研究中心觀察，超過 90% 的駭客攻擊以電子郵件為入侵管道，若企業只具備基礎的郵件防禦，已無法對抗駭客日益精進的進階攻擊。

中華數位科技 SPAM SQR 除了以多層次過濾機制對抗入侵，其 ADM (Advanced Defense Module) 進階防禦機制，能自動解封裝檔案進行掃描，可發掘潛在代碼、隱藏的邏輯路徑及反組譯程式碼，以利進行進階惡意程式比對。可進階防禦魚叉式攻擊、匯款詐騙、APT 攻擊郵件、勒索病毒以及新型態攻擊等郵件。