ASRC 2022年第一季度电子邮件安全观察

发布日期：2022-05-12

根据ASRC (Asia Spam-message Research Center) 研究中心与守内安的观察，2022年第一季度，很多企业能明显感觉到邮件威胁在增加，特别是以Emotet为代表的攻击再度现身，迫使企业开始重新思考是否改变邮件保密数据的传递方式，并采取相应的保护措施。研究显示，若企业只具备基础的邮件防御能力，已无法对抗黑客不断增强的进阶攻击。

以下是ASRC 研究中心与守内安对2022年第一季度威胁邮件态势的主要观察。

Emotet 再度现身，以加密恶意附件躲避防御侦测

Emotet的攻击，使用了各种藏匿及混淆的手段，用以躲避防毒及网安防护软件的检测，其中，最重要的一个手段就是压缩加密。过去，在传输附件前先压缩加密数据，主要是为了保护保密文件在传输过程中不被中间人取得或窥探，现在，却经常成为恶意软件用以躲避安全软件检测的保护伞。

2021年11月，新的Emotet服务器和恶意软件样本出现，并通过电子邮件大量散播。Emotet的垃圾邮件攻击行动所携带于邮件里的恶意Office文件多为xls、xlsx、xlsm、doc、docx、docm...，部分以zip加上密码的方式，躲避信息安全防御的侦测。当收件者不慎执行恶意Office文件内的宏，Office文件内记录的URL列表即会被尝试下载，扩展名可能为.ocx 文档，但实为DLL的文档。

较特别的是，用以隐匿恶意文件的连接，使用了多种手法躲避，例如：分别使用十六进制、八进制的方法，来存放远程服务器的IP地址，进而让Emotet下载第2阶段的恶意软件，现行的信息安全防护系统很可能无法察觉情况。

针对电商账号的钓鱼攻击

在3月份，研究人员观察到针对特定电商的钓鱼邮件，这些钓鱼邮件主要诈骗目标为电商平台的登入账号密码。在成功取得账户密码后，除了能利用电商进行一些虚假交易外，账号密码也可能被拿到其他的社群、电商、电子邮件登入入口尝试凭证填充 (Credential Stuffing) 攻击。钓鱼网站的域名都在近期申请，利用三或四级域名并将电商品牌关键词包含在内，以获取收件人进一步的信任。

示例图1：利用三或四级域名让收件者看到与电商相关的关键词从而放下戒心

防范钓鱼邮件教学的钓鱼邮件

在这一季，研究人员还发现一个有趣的案例：教人防范钓鱼邮件的教学，内容却是带有连接钓鱼网站的钓鱼邮件。不过，随后这个钓鱼页面遭到停权。

示例图2：货真价实的钓鱼邮件，内容却为防范钓鱼邮件的教学

利用俄乌战争话题的诈骗邮件

广受关注的时事新闻一直都是黑客爱用的工具。2022年2月24日乌俄战争爆发，从3月初开始有大量假借战争募捐名义的诈骗邮件四处流窜。与过去常见的419scam不同的是，诈骗邮件的内容提及由于战争的关系，银行已经无法正常运营，因此募集的是加密货币，以比特币为主。

示例图3：假借战争募捐名义的诈骗邮件募捐的是加密货币

以附件ZIP加密的传输方式开始被废除

以附件ZIP加密码的信息安全防护方式简称为PPAP，一般指将电子邮件附件通过ZIP加密压缩，再将可以解压缩的密码通过另一封邮件发给对方解密。PPAP的使用存在一些弊端：加密文件与密码经常使用相同的通讯管道分次传输、长久使用固定密码以及加密文件直接遭到拦截并被暴力破解等，这都说明了PPAP的使用并不安全。

以压缩文件加密分享数据的方式虽然十分便利，但由于采用对称加密，就不太容易抵挡暴力破解；再者，这样的机制缺乏个人化认证识别，无法在审核层面确保发送文件以及查看文件的双方安全性。对于企业来说，较安全的保密数据分享方式，还是要以非对称式加密为加密方法，再搭配身份验证及存取记录才比较稳妥。

去年底至今年第一季度，日本有多个大型企业集团直接废除PPAP的传输方式，并宣布接收外部邮件时，将会直接过滤带有密码的压缩文件，这个决定恰与Emotet卷土重来的时间点不谋而合。

声明：本文相关资讯来自安全牛，版权归作者所有，转载目的在于传递更多信息。如有侵权，请联系本站删除。