2022年第一季,所有企業都能明顯感覺到的威脅郵件,即是Emotet的濫發。Emotet的濫發,使用了各種藏匿及混淆的手段,用以躲避防毒及資安防護軟體的檢測,而其中最重要的一個手段就是「壓縮加密」。過去,在傳輸檔案前先經過「壓縮加密」,多半是為了保護機敏文件在傳輸過程中,不被傳遞管道的中間人取得或窺探的防護手段;而現在,卻經常成為惡意程式用以躲避資安檢測的保護傘。第二季的電子郵件攻擊,以釣魚郵件佔多數;其次是帶有加密病毒附件檔的郵件,其數量較第一季約成長4倍。透過大量連線攻擊的次數則約為第一季的兩倍。上半年觀察到「加密」手段及Follina漏洞的利用至截稿前都沒有明顯趨緩的態勢:前者多半用於無針對性的廣泛攻擊;後者則多為國家級APT愛用的手法,值得大家留意後續的利用與發展。

ASRC 研究中心與中華位科技在2022年上半觀察到的幾個特殊郵件案例:

Emotet 捲土重來,以加密惡意附件躲避防禦偵測

雖然歐洲刑警組織(Europol)與其它8個國家的執法機構在2021年初聯手破獲了Emotet殭屍網路,但新的Emotet伺服器和惡意軟體樣本又在2021/11/14出現,並透過電子郵件大量散播。Emotet的垃圾郵件攻擊行動所夾帶於郵件裡的惡意Office文件多為xls、xlsx、xlsm、doc、docx、docm...等等,部分以zip加上密碼的方式,躲避資安防禦工事的偵測。當收件者不慎執行惡意Office文件內的巨集,Office文件內紀錄的 URL 清單即會被嘗試下載,副檔名可能為 .ocx 檔,但實為 DLL 的檔案。接著使用 regsvr32.exe -s 指令,於收件者的 Windows 內執行 .ocx。

接下來進行潛伏:將 .ocx 複製到使用者目錄下的「AppData\Local\隨機目錄名稱」,並隨機取名 xxxxxxx.yyy (x長度不定),再將該 .ocx 刪除。執行 C:\Windows\system32\regsvr32.exe /s "C:\Users\使用者名稱AppData\Local\隨機目錄名稱下的惡意檔案,並透過 registry 設定開機執行。

較特別的是,用以隱匿惡意檔案的連結,使用了多種手法躲避,例如:分別使用十六進位、八進位的方法,來存放遠端伺服器的IP位址,進而讓 Emotet下載第2階段的惡意程式,現行的資安防護系統很可能無法察覺異狀。

Follina、Dogwalk… 新的漏洞攻擊接連爆發

Follina 攻擊,透過電子郵件觸發

微軟於 5 月 30 日公布位於 MSDT (MS Support Diagnostic Tool) 的 Windows 漏洞 CVE-2022-30190,這個漏洞被命名為 Follina,因為一開始發現的攻擊檔案名稱有著 0438 這個數字 (05-2022-0438.rar),0438 是義大利 Follina 的區號,因而得名。這個漏洞是 Windows 本身的漏洞,但觸發方式可透過電子郵件來進行:在電子郵件中以附件檔夾帶一個惡意的 Office 文件檔或是 RTF 文件檔,並利用 Office 程式向外抓取一個惡意的 HTML 檔,再藉此惡意 HTML 檔使用「ms-msdt」MSProtocol URI scheme 以載入一段程式碼,觸發 PowerShell 執行。

微軟 MSDT 延伸漏洞 - DogWalk

與 Follina 同樣是 MSDT 透過電子郵件的利用,另一種攻擊方式,是透過電子郵件寄送惡意超連結的方式,令受害者下載一個惡意的 diagcab 檔,並以社交工程的方式誘騙受害者點擊才能觸發。觸發後利用路徑/目錄穿越(Path Traversal),允許攻擊者將任何檔案,存在檔案系統任何地方,比方 Windows 的「啟動」資料夾中,進行長期的潛伏,並且這個過程完全是安靜的。這種攻擊方式有另一個暱稱為 DogWalk。

攻擊新手法,提高駭侵成功率

透過 PDF 掩護夾帶惡意 Office 檔案

四月份,我們發現有夾帶惡意 Office 檔案的 PDF 檔。這種惡意檔案的本體,是一個利用了 Excel 預設密碼加密過的惡意 xls 檔案,所利用的漏洞為 CVE-2017-11882,內嵌於 PDF 的附件內,利用 PDF 編碼作為掩護,使得防毒或資安檢測軟體極難辨識。當受害者不慎透過 Adobe Acrobat Reader 等 PDF 閱讀工具開啟了這個惡意的 PDF 檔案時,會自動詢問是否要開啟其中的惡意附件檔案,若受害者不慎同意開啟,則惡意檔案即會於受害者的電腦上安裝後門程式。要防範此類攻擊,除了採用較好的資安檢測機制外,在打開檔案時的任何軟體警示最好都不要輕易忽視!

透過呼叫瀏覽器,解碼藏在 HTML 檔中的壓縮檔

在過去,將各種威脅檔案隱藏在壓縮檔裡,是很常見的行為。因為壓縮檔給了惡意程式一個外殼,需要進行解壓縮才能分析,但這對於多數的資安分析機制都不是甚麼大問題。於是,攻擊者在壓縮檔加上密碼,並於郵件中告知受害者密碼,就有機會躲過偵測並執行後續的後門安裝。我們在本季看到了一個有別於傳統攻擊手段的利用。

這個特別的利用方式是,在電子郵件的附件檔中放入一個 HTML 檔案,當這個 HTML 檔被受害者點擊後,「下載」一個加密的惡意檔案。事實上,這並非真的從網路上「下載」一個惡意檔案,而是透過瀏覽器,解碼出內嵌於 HTML 內的一個加密惡意檔案,由於這個檔案不是從外部而來,因此瀏覽器的檔案下載保護,及 Windows 內建的「網路標記」(Mark of the Web)保護也會因此失效。根據我們分析的惡意樣本,加密的 zip 裡是一個 PE 檔的後門程式。

防範釣魚郵件教學的釣魚郵件

上半年我們發現一個有趣的案例:教人防範釣魚郵件的教學,內容卻是帶有連往釣魚網站的釣魚郵件。正當我們好奇想了解這個網站想釣是哪些資料時,釣魚頁面已經顯示這個頁面遭到停權。

針對電商帳號的釣魚攻擊

在三月份,我們觀察到針對特定電商的釣魚郵件,這些釣魚郵件主要詐騙的目標為電商平台的登入帳號密碼。在成功取得帳密後,除了能利用電商進行一些虛假交易外,帳號密碼也可能被拿到其他的社群、電商、電子郵件登入入口嘗試憑證填充 (Credential Stuffing) 攻擊。釣魚網站的域名都在近期申請,並利用三或四級域名將電商品牌關鍵字包含在內,讓收件者因此放下戒心。

利用烏俄戰爭議題的詐騙郵件

廣受關注的實事議題一直都是駭客愛用的工具。2022年2月24日爆發烏俄戰爭,從3月初開始有大量假藉戰爭募款的詐騙郵件四處流竄。與過去常見的419scam不同的地方是,詐騙信的內容提及由於戰爭的關係,銀行已經無法正常作業,因此募集的是以比特幣為主的加密貨幣。

自勒索軟體出現之後,大家看見了「加密」手段的兩面刃性質,企業對於加密的看法也從過去的「保護機敏文件」用途,開始有了「躲避檢查」的懷疑。因此,企業對於加密檔案的檢查規範,勢必要增加一個將不合理加密情況視為威脅的考量;而在電子郵件安全早期還不受重視時,多數的收信軟體或 Webmail,幾乎都能像瀏覽器一樣完整的執行各種網頁程式。隨著時間推移,大家慢慢意識到電子郵件這個管道若不進行管控或限縮,會是一個可以主動攻擊的破口。因此,現在的收信軟體或是 Webmail 都不再能直接執行各種網頁程式。攻擊者在演化的過程中留意到了電子郵件可夾帶各種附件的可能性,開始透過夾帶各種惡意檔案以利用這些檔案開啟軟體的漏洞。HTML 檔可以呼叫瀏覽器開啟,在過去經常被用來做離線釣魚,這次我們看到了離線下載檔案攻擊樣本,未來在呼叫瀏覽器的利用方面恐怕將更加深化及普及化。

熱門新聞

Advertisement