根據(jù) ASRC 研究中心 (Asia Spam-message Research Center) 與守內(nèi)安的觀察,2019 年第二季度,電子郵件安全趨勢(shì)基本為第一季度情況的延續(xù)。有更多的合法域名遭到濫用;詐騙郵件的數(shù)量比第一季度上升了 250% 以上,其中以無(wú)差別攻擊的尼日利亞詐騙郵件占比最高;針對(duì)型的商務(wù)電子郵件詐騙雖然占比低,背后隱藏的信息安全問(wèn)題卻不容忽視;而 Office 的漏洞,仍是穩(wěn)定、易觸發(fā)、全版本都可用,最被攻擊者青睞。
以下是本季主要的趨勢(shì)觀察: 1. 詐騙郵件總數(shù)比上季度上升 250% 以上 詐騙郵件可以分為商務(wù)電子郵件詐騙 (BEC,Business Email Compromise) 與尼日利亞詐騙 (419scam) 兩大種類(lèi)。商務(wù)電子郵件詐騙主要是針對(duì)正與外部供應(yīng)鏈從事商務(wù)洽談或執(zhí)行電匯時(shí),介入的復(fù)雜詐騙攻擊。而尼日利亞詐騙則是對(duì)全球不特定目標(biāo)發(fā)送各種詐騙信息,內(nèi)容涵蓋了災(zāi)難、遺產(chǎn)或巨額資金轉(zhuǎn)移、網(wǎng)絡(luò)交友、募款等主題,對(duì)收件人進(jìn)行詐騙。不論是商務(wù)電子郵件詐騙或尼日利亞詐騙,主要采用的都是社交工程手法,需與收件人互動(dòng)。 由于商務(wù)電子郵件詐騙發(fā)動(dòng)前,需要先能入侵目標(biāo)對(duì)象的電子郵箱,并進(jìn)行一段時(shí)間的監(jiān)測(cè),才會(huì)在交易時(shí),發(fā)動(dòng)商務(wù)電子郵件詐騙。因此曾遭受商務(wù)電子郵件詐騙的企業(yè)單位,多半已存在信息安全問(wèn)題;而尼日利亞詐騙只需要捏造故事,并將這些故事發(fā)送給曾外泄的、暴露在外的電子郵件地址,接著等防備較弱的人上鉤,就可以開(kāi)始進(jìn)行詐騙。兩者的攻擊難度差異甚大,因此在 2019 年上半年,這兩種詐騙的比率很穩(wěn)定,商務(wù)電子郵件詐騙約占 2%,而尼日利亞詐騙高達(dá) 98%;而整體的詐騙數(shù)量,第二季度較第一季度上升了約 250% 以上。 通過(guò) Google 翻譯后,發(fā)送至華語(yǔ)地區(qū)國(guó)家的尼日利亞詐騙 2. 越來(lái)越多的合法空間遭到利用,藉以掩護(hù)攻擊目的 ASRC 在第二季度持續(xù)觀察到新的合法空間被用來(lái)放置惡意文檔或文件。這類(lèi)攻擊郵件多半以很簡(jiǎn)單的內(nèi)容附上一個(gè)合法域名的超鏈接,希望收件人可以前往該鏈接以下載或開(kāi)啟文檔。 經(jīng)常遭到濫用的知名合法域名: .web.core.windows.net 1drv.ms .github.io .oracle.com drive.google.com .appspot.com .dropbox.com 這些域名的擁有者都是跨國(guó)的大型企業(yè),并為知名的網(wǎng)絡(luò)服務(wù)提供商,因此,當(dāng)收件人點(diǎn)擊這些鏈接時(shí),可逃過(guò)多數(shù)上網(wǎng)保護(hù)或管理機(jī)制的檢測(cè),進(jìn)而接觸存在風(fēng)險(xiǎn)的惡意文檔。 越來(lái)越多的合法空間,遭到利用 3. 電子郵件的漏洞利用, Office 漏洞運(yùn)用最廣,WinRAR 漏洞多用于針對(duì)型攻擊 2019 年上半年來(lái)自電子郵件的漏洞利用,前三名分別為 CVE20144114、CVE20180802、CVE201711882。這三個(gè)都是 Microsoft Office 漏洞,它們穩(wěn)定、易觸發(fā)、全版本都可用,只要能夠引起使用者好奇,一旦附件被開(kāi)啟,不需要使用者再配合執(zhí)行其他動(dòng)作,漏洞便會(huì)觸發(fā)執(zhí)行惡意軟件,接著攻擊者便能取得計(jì)算機(jī)掌控權(quán)。 除此之外,值得特別留意的是第一季度被揭露的 WinRAR 漏洞 CVE201820250 系列,在第二季度的攻擊范圍與數(shù)量都有明顯增加的趨勢(shì),攻擊普遍出現(xiàn)于金融、制造、醫(yī)療、石油等相關(guān)產(chǎn)業(yè)。這個(gè)漏洞幾乎都為針對(duì)型 APT 攻擊所利用,不同前述利用目的較為多元的 Office 漏洞。 4. 無(wú)文檔式攻擊,讓防御更加艱巨 我們也從許多電子郵件的攻擊中觀察到無(wú)文檔式 (Fileless) 的攻擊,也稱(chēng)為「離地攻擊」(living off the land)。這類(lèi)攻擊不必下載專(zhuān)用工具,因此無(wú)從發(fā)現(xiàn)惡意軟件!攻擊的初始可能從一份有害的惡意文件開(kāi)始,在漏洞被觸發(fā)或以社交工程的方式成功促使收件人執(zhí)行 VBA 后,開(kāi)始使用受害者操作系統(tǒng)中種種合法工具,開(kāi)始進(jìn)行一連串的攻擊,尤其是 Windows 上的 PowerShell,更是攻擊者的最?lèi)?ài)。這讓以偵測(cè)惡意軟件存在發(fā)現(xiàn)的防衛(wèi)手段,面臨艱巨的考驗(yàn)。 結(jié)語(yǔ) 90% 的網(wǎng)絡(luò)攻擊皆由電子郵件拉開(kāi)序幕,因此,將電子郵件的防守做得牢靠,就能防住大多數(shù)的網(wǎng)絡(luò)攻擊。攻擊者似乎也明白這一點(diǎn),因此,越來(lái)越多來(lái)自電子郵件的攻擊者利用超鏈接、短網(wǎng)址、合法空間存放惡意軟件等手法,試圖將戰(zhàn)場(chǎng)從電子郵件過(guò)濾的網(wǎng)關(guān)口延伸至收件人的終端計(jì)算機(jī)、瀏覽器等,并且試圖制造出防守方的各種邏輯漏洞或矛盾,例如,為了解決惡意超鏈接所帶來(lái)的風(fēng)險(xiǎn),而針對(duì)電子郵件內(nèi)的每一個(gè)超鏈接進(jìn)行檢測(cè),這就可能帶來(lái)許多未經(jīng)授權(quán)的點(diǎn)擊,造成各種身分認(rèn)證、稽核、確認(rèn)訂閱或退訂混亂的情況,這可能是許多開(kāi)發(fā)者或方案采用者不會(huì)直接意識(shí)到的風(fēng)險(xiǎn)。