2018年郵件安全重點回顧
概要
2017年最令人印象深刻的資訊保安議題,大概是勒索病毒。2018年,值得注意的資訊保安議題有哪些呢?
根據2018 年ASRC(ASRC 垃圾資訊研究中心)郵件安全年度分析結果顯示,CPU的快取安全漏洞、挖礦以及虛擬貨幣竊案、臉書洩密與劍橋分析事件,這一些的確是2018年十分重大的資訊保安議題,然而,每一年的資訊保安議題出現時,總少不了讓人想起利用這些漏洞所進行的電子郵件攻擊:在CPU安全漏洞公佈後,2018年1月便出現重大漏洞更新的網釣郵件,該郵件佯稱可下載並安裝修補程式,但實際上為木馬程式Smoke Loader。虛擬貨幣交易平臺Binance,以及日本虛擬貨幣交易所Coincheck都曾遭受過釣魚郵件的攻擊,後者還因此蒙受了巨大的損失。最後,以臉書、Apple等知名公司名義傳送的釣魚郵件更是經常可見,受害使用者根本無法直接分辨這些釣魚郵件的可信度,所以只要自己使用了相關服務,多半都都會成為上鉤的物件。郵件安全已成為各種資訊保安措施中,最基礎且無法忽視的重要環節,以下,我們將針對2018年郵件安全相關事件與統計,進行重點回顧。
統計
2018年的垃圾郵件活動統計圖如下。全年垃圾郵件佔比大約落在78%左右,相較於往年,並沒有太大差異;全年最多垃圾郵件爆發的月份落在十月,最少的月份則是四月,這兩個月份的垃圾郵件落差約20%。大致上而言,垃圾郵件並沒有消滅或趨緩的跡象。
2018垃圾郵件活動統計圖
在垃圾郵件中,於第一時間即可被防毒軟體偵測出的病毒郵件統計如下。2018年第四季的病毒郵件佔比居全年之冠。病毒郵件,大約佔全體總郵件量的0.15%。
第一時間可被防毒軟體偵測出的病毒郵件比例
而在其中比例更少,卻不容忽視的APT攻擊,佔比雖少風險卻十分巨大;2018年三月至五月為全年APT攻擊郵件最活躍的月份。
APT郵件攻擊,在2018年三至五月最為活躍
而詐騙郵件則在2018年的三月份,以及六、七月份有明顯增多的情況。
詐騙郵件,在2018年三月以及六、七月份明顯增多
針對電子郵件附件,ASRC也做了一些統計。一封郵件中,若帶有附件,則檔案型別的檔案,收件者應特別小心EXCEL類的附件,因其相較於其他檔案型的附件,更常被用於攻擊;而壓縮檔方面,常見的兩種壓縮檔ZIP、RAR,以ZIP壓縮檔格式夾帶惡意程式較為常見。若郵件中直接夾帶EXE或BAT等可執行檔型別,則超過一半以上的比例,可能是有害的。
郵件中直接夾帶EXE或BAT等可執行檔型別,危害比例超過一半
重要事記
根據2018年ASRC與Softnext守內安所觀察的郵件趨勢,大約可歸結漏洞利用攻擊、釣魚郵件,以及詐騙或恐嚇四種主要型態。這四種郵件攻擊難度與目的整理如下表,越偏向技術取向的攻擊難度越高,越偏向社交工程取向的攻擊技術難度較低。
2018四種常見郵件攻擊型態與攻擊目的
透過郵件所採取的漏洞攻擊
根據ASRC統計,2018年最常見的郵件漏洞利用攻擊為OLE漏洞(CVE-2014-4114)與方程式漏洞(CVE-2017-11882),這兩個漏洞都是利用寄送惡意的Office檔案附件,誘使收件者以未修補的Office程式開啟後觸發漏洞,接著進行進一步的攻擊。而在2018年一月份揭露的CVE-2018-0802漏洞,為方程式漏洞(CVE-2017-11882)的變形,主要是利用漏洞修補後仍不完善部分進行攻擊。
這些經典穩定的漏洞,仍可能會被沿用多年,原因是許多人所使用的Office並不經常性的更新,理由可能為非正版Windows、擔心相容性或使用上的適應性,以及缺乏漏洞修補的概念。
漏洞的利用,通常是複雜APT攻擊行動的前奏,漏洞本身的直接危害主要是觸發該漏洞的電腦控制權被有心人士奪取。透過魚叉式釣魚郵件的手法,將帶有觸發這些漏洞的惡意郵件寄送予特定物件,誘使特定物件開啟郵件,由於漏洞已觸發,因此可進一步下載並執行更具危險性的攻擊程式。CVE-2014-4114的漏洞就曾被用以下載及觸發BlackEnergy木馬程式,造成烏克蘭大停電的事件。
CVE-2017-11882電子郵件攻擊樣本
除了漏洞攻擊外,2018年的四月至九月間,我們也發現了利用Office特殊檔案格式所進行的攻擊,副檔名為IQY的檔案。IQY為Microsoft Excel所使用的Web查詢設定檔,Excel讀取該檔後會連向指定的網址取得資料,這種攻擊是利用了比較不常被注意到的軟體特性進行攻擊。由於IQY為純文字格式,預設的檔案開啟程式又是Excel,攻擊者便利用這個特性,將惡意的網址寫入IQY檔,欺騙使用者開啟檔案後連外取得惡意程式回來執行。由於,IQY的純文字內容並不含有惡意行為,因此也能有效規避防毒軟體的檢查。
不曾停止的釣魚郵件
釣魚郵件已經不是一個新的名詞,但惡意攻擊者仍樂此不疲,原因是這種攻擊行動幾乎不需要複雜的技術,只要能釣到幾個有用的帳號密碼,投資報酬率相當可觀。
2018年釣魚郵件出現的高峰期是在第四季度。釣魚郵件的內容多半是一個關於你郵箱被停用、升級、非法登入的理由,並附上一個超連結。釣魚郵件本身並不能釣到帳號密碼,他需要搭配一個釣魚網站,而釣魚郵件的最大目的就是誘騙收件者拜訪釣魚網站並填入收件者的帳號密碼。大約有7%的釣魚郵件,其所配合的釣魚網站是免費的網站或表單生成器;約有80%以上的釣魚網站是遭到入侵的Wordpresss內容管理系統。
典型的釣魚郵件,佯稱須以個人帳號密碼登入進行郵件郵箱的升級
釣魚網站的登入頁面,頁面相關資訊的形成是動態的,依據受害者點選連結中所帶的引數而有變化
輸入帳號密碼後,雖然看到一個失敗的畫面,但實際上帳號密碼已遭到收集
除了傳統的直接騙取帳號密碼外,2018年三月我們也觀察到一波不尋常的攻擊郵件,這種郵件附帶了一個藏在壓縮檔內的.url檔案。
當收件人在Windows下解開附件,並點選.url檔時會詢問是否透過SMB通訊協議取得並執行遠端作為Downloader的.wsf檔案;但.url檔有個特殊之處:使用者光是「提取」.url檔案,Windows就會主動向.url要求的位址以SMB通訊協議要求資訊.,此時已對遠端惡意主機洩漏收件人使用的IP與其電腦名稱。若url內指向的為遠端惡意主機的Samba路徑,且惡意主機上的Samba伺服器啟用了NTLMv2驗證機制,當Windows自動拜訪該主機時,就會將使用者的密碼進行雜湊運算後送至惡意主機進行驗證。雖然無法從雜湊碼反推回實際的密碼,但若是密碼的強度不足,只要對密碼字典表進行雜湊編碼後再做比對,就有很高的機會還原密碼,並進一步攻擊企業外部服務,以此密碼嘗試登入。這算是釣魚郵件中一個很特別的例子!
隱而不顯的BEC詐騙事件
在2018年,BEC商業電子郵件詐騙事件發生頻率並沒有趨緩,根據ASRC研究中心與Softnext守內安的觀察,2018年的BEC郵件出現的高峰期為第三季。
最常遭受BEC詐騙郵件攻擊的產業以金融業、高科技製造業、製造業的比例最高。某些特定企業每一到兩個月就會遭到1~2次的BEC郵件攻擊,且這樣的攻擊會持續3個月以上。在遭遇BEC詐騙事件後,僅8.23%的企業會尋求專業安全廠商的協助,清查鑑識事件背後的資訊保安問題。
美國聯邦調查局(FBI)網際網路犯罪申訴中心在2018年7月釋出的一則訊息中指出,自2013年10月起至2018年5月,全球已曝光的BEC詐騙案件計有78,617件,損失金額超過125億美元;從2016年12月到2018年5月,已曝光的BEC詐騙損失金額成長了136%。
BEC詐騙與APT攻擊間有著相同的特性,黑客在事前經過長時間監控觀察以及縝密計劃後發動攻擊,一旦被盯上,攻擊就有可能重複發生。若只把事後補救重點放在「款項追回」,未正視處理事件背後隱藏的資訊保安問題,就算企業幸運追回款項,難保黑客不會再度發動攻擊。因此若不幸被詐騙,除了立即採取行動與警方、金融單位聯絡外,也應尋求專業鑑識夥伴協助,協助清查鑑識受害電腦與關聯網路,改善企業資訊保安問題避免再度受黑。
比勒索更簡單的「恐嚇郵件」
恐嚇郵件,並沒有夾帶任何的惡意檔案或攻擊程式碼,純粹是透過在心理上的恐嚇,迫使收到此類郵件的受害者因害怕而依照郵件的指示言聽計從。這些恐嚇信的收信人名單有不少是從過去社群網站或是大規模洩漏事件中取得的,因此在其內容會提供該收件者過去遭到洩漏的密碼,用以取信收件者相信自己的帳號確實遭到入侵。除了以密碼恫嚇收信者外,也有部分是用誆稱收信人電腦已被植入病毒,並透過收件者電腦的網路攝影機拍下一些敏感畫面,或收信者有機敏資料在入侵者手上的說詞來達到恐嚇的目的。
這類郵件最初皆由英文寫成,但在2018下半年後觀察到有語言變形的趨向,但不見得是直接攻擊使用該語言最多的地區;再者,這類恐嚇信通常要求使用比特幣來進行支付,對於使用比特幣較不方便或禁止使用的地區,其恐嚇取財成功的機率應不會太高。
恐嚇郵件,並沒有夾帶任何的惡意檔案或攻擊程式碼,純粹是透過在心理上的恐嚇
2019趨勢與結語
2018年曾出現的攻擊手法,2019年可能多半都還能沿用,來自電子郵件的攻擊從來不會絕跡,只會變形。2019年出現的攻擊郵件夾帶附件的比例可能會略為下降,以超連結配合遭到入侵的網站進行惡意程式下載攻擊,或騙取帳號密碼為主要攻擊方法。然而要特別留意的是,隨著多國語言自動翻譯技術的進步,未來的郵件攻擊的內文會更加流暢的以本地化語言進行社交工程攻擊。
因此,教育使用者提高資訊保安意識固然重要,但若光是要求使用者提升安全意識,來防禦多變的郵件攻擊恐怕已不足矣,企業更應提供使用者相較安全的電子郵件使用環境,如匯入SPAM SQR ADM進階防禦機制,以降低遭受攻擊的風險。