注意偽冒帳單,以混淆欺騙獲得系統初始存取權
偽冒帳單的攻擊手法依舊零星出現,本季我們也觀測到這樣的樣本信。通常這類型的偽冒帳單都會附上一個釣魚連結,讓收件者可利用這個釣魚連結繳交帳單費用,實際上是用來騙取信用卡號。也有部分攻擊會附上偽裝成帳單文件的惡意檔案,誘騙收件者打開並執行裡面的惡意程式碼。這一季我們觀察到的案例屬於後者,以 zip 檔夾帶一個惡意的 .vbe 惡意程式碼,再以雙重副檔名的方式,試圖矇騙預設未顯示副檔名的 Windows 系統。這個惡意的 .vbe 檔其實是經過混淆手段的 PowerShell Code,實際上是種 Downloader (GuLoader),它可以依靠混淆欺騙手段來獲得系統的初始存取權限,進而避開防毒軟體的偵測。
.SVG 附檔攻擊不常見,加入過濾審核規則提高安全性
第一季的攻擊郵件中,我們也發現了夾帶 .svg 附件檔的釣魚郵件。.svg 檔是可縮放向量圖形(英語:Scalable Vector Graphics,縮寫:SVG),基於可延伸標記式語言(XML),用於描述二維向量圖形的圖形格式。SVG 由 W3C 制定,是一個開放標準,一般的作業系統會以瀏覽器作為這類檔案的預設開啟程式。
以我們看到的例子,這封釣魚郵件在內容中隱藏了一個釣魚郵件連結,連結看起來是這樣:https://accounts2Egoogle.com+signinsecure+v2+identifierpassive@accounts.google.com+signinsecure+v2+identifierpassive@dropbox.intiute.shop
連結被用來混淆開信者,實際上真正指向的位置為:dropbox.intiute.shop。當拜訪上述位址時會直接轉址至:https://dropbox————-updating.blogspot.com/,這才是最終的釣魚頁面。
而夾帶於信中的 .svg 檔案,也會引導收信人拜訪釣魚網站,當收信人點開附件 .svg 檔後,會呼叫瀏覽器並直接連往釣魚網站。直接檢視 .svg 的原始碼,可看到釣魚網站的真正位址,似乎不需要再用混淆手段來欺騙收信者。
事實上,.svg 檔可以完整的編寫 HTML 及 Javascript 的程式碼。由於作業系統預設會以瀏覽器開啟,所以 .svg 可以透過瀏覽器進行更複雜的攻擊。而 .svg 作為電子郵件的附件並不常見,因此在郵件的過濾規則中加入對 .svg 檔的審核或過濾,可以有效提高資安防護的安全性。
QR Code 釣魚郵件持續氾濫,手持裝置安全風險高
夾帶 QR Code 的釣魚郵件在這一季持續氾濫。這類釣魚郵件最大的特色就是夾帶 QR Code,而夾帶的方式:可能做為附件、以 HTML code 加上編碼內嵌於郵件內容或附件、外連的網址,或直接內嵌於 Office 或 PDF 文件內。這類型釣魚郵件主要騙取的目標為:姓名、信用卡號、身分證字號、手機號碼…等資料,作為後續盜刷,或冒名購買跨國服務、工具之用。QR Code 解碼後,通常都只夾帶一串釣魚郵件超連結,這些連結多半使用 .sms 或 .bond 等,申請管理較為鬆散的頂級網域。
QR Code 釣魚郵件是危險的,通常收信者收到後,會直接以手持裝置掃描 QR Code,這讓收信者的手持裝置暴露在危險之中,尤其,當攻擊者搭配某些行動裝置瀏覽器的漏洞一起利用時。企業組織的資安防護部署不見得會將員工自帶的手持裝置一併考慮進去,一旦手持裝置遭到入侵,就會成為個人或企業組織機敏資訊洩漏的嚴重破口。
縮址服務隱藏惡意目的,讓惡意檔案更容易躲避檢查
縮址服務,通常是為了讓過長的網址方便記憶、呈現美觀,或為了進一步統計收集資訊。但縮址服務也可能成為攻擊者的工具,許多的攻擊或釣魚郵件會將真正的惡意網址透過縮址隱藏遮蔽。
當真正的惡意連結被縮址服務遮蔽,郵件過濾機制與終端的掃毒機制就很難發揮偵測的作用;收件者的風險將會在觸發縮址並轉址至真正風險位址的時候出現,有很大的風險會使瀏覽器遭到利用。
縮址也可以是複雜攻擊的一部分,本季出現為數不少的 .xls 附件檔案,內嵌PDF 檔,並以 VBA 至縮址位址下載、觸發惡意檔案。整個惡意文件離線分析時,並沒有明顯的惡意行為,也沒有惡意網址,真正的惡意發生在觸發縮址並轉往真正的惡意連結時才出現。這種攻擊的方法讓惡意檔案更容易躲避檢查,也能保護或置換真正的惡意網址。
結論
攻擊及防護手段持續競賽,除了資安工事需要不斷升級外,人員的教育訓練也應該根據攻擊的變化與時俱進;QR Code 釣魚郵件帶來的風險,除了設法杜絕收信者接觸這類郵件、教育訓練外,企業也需要考慮行動裝置管理 (MDM),在個人方面最好都能採取多重要素驗證 (MFA) 的保護措施,萬一洩漏了帳號密碼或機敏資訊時,可以多一道安全保護。Google 於 2009 年推出的縮址服務,由於難以監管在 2018 宣布停止服務,已存在的縮址也在服務停止後一年內失效。服務的停用讓更多人關注縮址服務能被惡意利用的話題,因此,在正式的郵件通信中,我們建議應盡量避免使用縮址服務;而郵件中帶有縮址的審核強度則應從嚴。