【資安】ASRC 2019 上半年度電子郵件安全回顧

ASRC 2019 上半年度電子郵件安全回顧

根據 ASRC 垃圾訊息研究中心 (Asia Spam-message Research Center) 與中華數位科技的觀察,回顧 2019 年上半電子郵件安全趨勢:史上最會賺的勒索軟體 GandCrab,在全球各地肆虐一年多後,隨著駭客團隊宣告隱退與解密工具的釋出而畫下句點,但是只要有利可圖,勒索軟體恐怕還會持續蓬勃發展。詐騙郵件不僅泛濫,總量單季暴增超過 250 %,其中以無差別攻擊的奈及利亞詐騙郵件佔比最高;針對型的商務電子郵件詐騙雖然佔比低,背後隱藏的資安問題不容忽視;而 Office的三個漏洞,因為穩定、易觸發、全版本都可用,持續受到駭客愛用;越來越多的合法空間遭到濫用,以及無檔案式的攻擊,都讓企業的安全防禦任務變得更加困難。

駭客團隊宣佈隱退、警方釋出解密工具,GandCrab 惡夢已醒

2018 1 月被發現的 GandCrab,被喻為史上最會賺錢的勒索軟體。在全球各地肆虐一年多之後,背後的駭客團隊在 2019 6 月宣佈賺夠了決定隱退,並且放話將刪除所有的解密金鑰,催促受害者盡快付款了事。所幸在全球警方與 Bitdefender 等資安業者通力合作下,關閉了 GandCrab 的運作並且釋出解密工具,全球的 GandCrab 惡夢總算畫下句點,這大概算是郵件安全回顧中唯一的好消息。但是背後的開發團隊猖獗挑釁的態度,讓人難以苟同,難保會有更多的仿效者出現,勒索軟體未來恐怕還是會持續蓬勃發展下去。

 

詐騙郵件泛濫,總量單季暴增超過 250 %

詐騙郵件可分為商務電子郵件詐騙 (BECBusiness Email Compromise) 與奈及利亞詐騙 (419scam) 兩大種類。在 2019 上半年觀察到的詐騙郵件泛濫,總量在第二季暴增,相較第一季增長的幅度超過 250%。其中以奈及利亞詐騙郵件佔比最高,其攻擊難度低,只需要捏造故事無差別的寄送給曾外洩的、暴露在外的電子郵件位址,待防備較弱的人上鉤,就可開始進行詐騙。

而針對型的商務電子郵件詐騙雖然佔比低,但在發動前需要先入侵目標對象的電子郵件信箱,進行一段時間的監測,才能在正確的時機點發動詐騙。因此曾遭受 BEC 攻擊的企業單位多半已存在資安問題。

兩種詐騙郵件的攻擊難度差異甚大,不過一旦上當都將造成一筆不小的金錢損失。

 

合法空間淪為駭客工具,使用者與防護機制漸失防備

越來越多的合法空間被用來放置惡意檔案或文件,這類攻擊郵件以簡單的郵件內容附上合法域名如 Githubdropboxgoogle driveOracle…的超連結,引導收件者點選連結下載或開啟惡意檔案。由於這些域名的擁有者都是跨國大型企業,且為知名網路服務提供商,不僅收件者難以肉眼辨識,多數上網防護機制也會略過檢測。

 

三個 Office 漏洞被廣泛運用,WinRAR 漏洞多被用於針對性攻擊

2019 上半年漏洞利用前三名分別為:CVE20144114CVE20180802CVE201711882,三者皆為 Microsoft Office 漏洞。它們穩定、易觸發、全版本都可用,最受攻擊者的青睞。

此外,值得特別留意的是第一季被揭露的 WinRAR 漏洞 CVE201820250 系列,第二季的攻擊範圍與數量都有明顯增加的趨勢,且幾乎都為針對型 APT 攻擊所利用,主要瞄準製造業,政府機關、旅館,以及教育單位也有被零星攻擊的跡象。

 

無檔案式的攻擊,讓安全防禦更加艱鉅

我們也在 2019 年上半電子郵件攻擊中觀察到無檔案式 (Fileless) 的攻擊,也稱為「離地攻擊」( living off the land )。這類攻擊發生在漏洞被觸發或以社交工程手法成功促使收件者執行 VBA 之後,利用受害者作業系統中種種合法工具,進行一連串的攻擊,尤其是 Windows 上的 PowerShell,更是攻擊者的最愛。這類攻擊不必下載專用工具,因此無從發現惡意程式,這讓以偵測惡意程式存在發現的防衛手段,面臨艱鉅的考驗。

 

 

90% 的網路攻擊皆由電子郵件拉開序幕,因此,將電子郵件的防守做得牢靠,就能防住大多數的網路攻擊。攻擊者似乎也明白這一點,因此,越來越多來自電子郵件的攻擊者利用超連結、短網址、合法空間存放惡意程式等手法,試圖將戰場從電子郵件過濾的閘道口延伸至收件者的終端電腦、瀏覽器等,並且試圖製造出防守方的各種邏輯漏洞或矛盾。比方,假若為了解決惡意超連結所帶來的風險,而針對電子郵件內的每一個超連結進行檢測,這就可能帶來許多未經授權的點擊,造成各種身分認證、稽核、確認訂閱或退訂混亂的情況,這可能是許多開發者或方案採用者不會直接意識到的風險。

 

關於 ASRC 垃圾訊息研究中心

ASRC 垃圾訊息研究中心 (Asia Spam-message Research Center),長期與中華數位科技合作,致力於全球垃圾郵件、惡意郵件、網路攻擊事件等相關研究事宜,並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式,促成產官學界共同致力於淨化網際網路之電子郵件使用環境。
更多資訊請參考 www.asrc-global.com