概要

2017年最令人印象深刻的信息安全議題，大概是勒索病毒。2018年，值得注意的信息安全議題有哪些呢?

[[256412]]

根據(jù)2018 年ASRC(ASRC 垃圾信息研究中心)郵件安全年度分析結果顯示，CPU的緩存安全漏洞、挖礦以及虛擬貨幣竊案、臉書泄密與劍橋分析事件，這一些的確是2018年十分重大的信息安全議題，然而，每一年的信息安全議題出現(xiàn)時，總少不了讓人想起利用這些漏洞所進行的電子郵件攻擊：在CPU安全漏洞公布后，2018年1月便出現(xiàn)重大漏洞更新的網釣郵件，該郵件佯稱可下載并安裝修補程序，但實際上為木馬程序Smoke Loader。虛擬貨幣交易平臺Binance，以及日本虛擬貨幣交易所Coincheck都曾遭受過釣魚郵件的攻擊，后者還因此蒙受了巨大的損失。最后，以臉書、Apple等知名公司名義發(fā)送的釣魚郵件更是經?？梢姡芎τ脩舾緹o法直接分辨這些釣魚郵件的可信度，所以只要自己使用了相關服務，多半都都會成為上鉤的對象。郵件安全已成為各種信息安全措施中，最基礎且無法忽視的重要環(huán)節(jié)，以下，我們將針對2018年郵件安全相關事件與統(tǒng)計，進行重點回顧。

統(tǒng)計

2018年的垃圾郵件活動統(tǒng)計圖如下。全年垃圾郵件占比大約落在78%左右，相較于往年，并沒有太大差異;全年最多垃圾郵件爆發(fā)的月份落在十月，最少的月份則是四月，這兩個月份的垃圾郵件落差約20%。大致上而言，垃圾郵件并沒有消滅或趨緩的跡象。

2018垃圾郵件活動統(tǒng)計圖

在垃圾郵件中，于第一時間即可被防毒軟件偵測出的病毒郵件統(tǒng)計如下。2018年第四季的病毒郵件占比居全年之冠。病毒郵件，大約占全體總郵件量的0.15%。

第一時間可被防毒軟件偵測出的病毒郵件比例

而在其中比例更少，卻不容忽視的APT攻擊，占比雖少風險卻十分巨大;2018年三月至五月為全年APT攻擊郵件最活躍的月份。

APT郵件攻擊，在2018年三至五月最為活躍

而詐騙郵件則在2018年的三月份，以及六、七月份有明顯增多的情況。

詐騙郵件，在2018年三月以及六、七月份明顯增多

針對電子郵件附件，ASRC也做了一些統(tǒng)計。一封郵件中，若帶有附件，則文件類型的檔案，收件者應特別小心EXCEL類的附件，因其相較于其他文件型的附件，更常被用于攻擊;而壓縮檔方面，常見的兩種壓縮檔ZIP、RAR，以ZIP壓縮檔格式夾帶惡意程序較為常見。若郵件中直接夾帶EXE或BAT等可執(zhí)行檔類型，則超過一半以上的比例，可能是有害的。

郵件中直接夾帶EXE或BAT等可執(zhí)行檔類型，危害比例超過一半

重要事記

根據(jù)2018年ASRC與Softnext守內安所觀察的郵件趨勢，大約可歸結漏洞利用攻擊、釣魚郵件，以及詐騙或恐嚇四種主要型態(tài)。這四種郵件攻擊難度與目的整理如下表，越偏向技術取向的攻擊難度越高，越偏向社交工程取向的攻擊技術難度較低。

2018四種常見郵件攻擊型態(tài)與攻擊目的

透過郵件所采取的漏洞攻擊

根據(jù)ASRC統(tǒng)計，2018年最常見的郵件漏洞利用攻擊為OLE漏洞(CVE-2014-4114)與方程式漏洞(CVE-2017-11882)，這兩個漏洞都是利用寄送惡意的Office文件附件，誘使收件者以未修補的Office程序開啟后觸發(fā)漏洞，接著進行進一步的攻擊。而在2018年一月份揭露的CVE-2018-0802漏洞，為方程式漏洞(CVE-2017-11882)的變形，主要是利用漏洞修補后仍不完善部分進行攻擊。

這些經典穩(wěn)定的漏洞，仍可能會被沿用多年，原因是許多人所使用的Office并不經常性的更新，理由可能為非正版Windows、擔心兼容性或使用上的適應性，以及缺乏漏洞修補的概念。

漏洞的利用，通常是復雜APT攻擊行動的前奏，漏洞本身的直接危害主要是觸發(fā)該漏洞的電腦控制權被有心人士奪取。透過魚叉式釣魚郵件的手法，將帶有觸發(fā)這些漏洞的惡意郵件寄送予特定對象，誘使特定對象開啟郵件，由于漏洞已觸發(fā)，因此可進一步下載并執(zhí)行更具危險性的攻擊程序。CVE-2014-4114的漏洞就曾被用以下載及觸發(fā)BlackEnergy木馬程序，造成烏克蘭大停電的事件。

CVE-2017-11882電子郵件攻擊樣本

除了漏洞攻擊外，2018年的四月至九月間，我們也發(fā)現(xiàn)了利用Office特殊檔案格式所進行的攻擊，擴展名為IQY的檔案。IQY為Microsoft Excel所使用的Web查詢設定檔，Excel讀取該檔后會連向指定的網址取得數(shù)據(jù)，這種攻擊是利用了比較不常被注意到的軟件特性進行攻擊。由于IQY為純文字格式，預設的檔案開啟程序又是Excel，攻擊者便利用這個特性，將惡意的網址寫入IQY檔，欺騙使用者開啟檔案后連外取得惡意程序回來執(zhí)行。由于，IQY的純文字內容并不含有惡意行為，因此也能有效規(guī)避防毒軟件的檢查。

不曾停止的釣魚郵件

釣魚郵件已經不是一個新的名詞，但惡意攻擊者仍樂此不疲，原因是這種攻擊行動幾乎不需要復雜的技術，只要能釣到幾個有用的帳號密碼，投資報酬率相當可觀。

2018年釣魚郵件出現(xiàn)的高峰期是在第四季度。釣魚郵件的內容多半是一個關于你郵箱被停用、升級、非法登錄的理由，并附上一個超鏈接。釣魚郵件本身并不能釣到帳號密碼，他需要搭配一個釣魚網站，而釣魚郵件的最大目的就是誘騙收件者拜訪釣魚網站并填入收件者的帳號密碼。大約有7%的釣魚郵件，其所配合的釣魚網站是免費的網站或表單生成器;約有80%以上的釣魚網站是遭到入侵的Wordpresss內容管理系統(tǒng)。

典型的釣魚郵件，佯稱須以個人帳號密碼登錄進行郵件郵箱的升級

釣魚網站的登錄頁面，頁面相關資訊的形成是動態(tài)的，依據(jù)受害者點擊鏈接中所帶的參數(shù)而有變化

輸入帳號密碼后，雖然看到一個失敗的畫面，但實際上帳號密碼已遭到收集

除了傳統(tǒng)的直接騙取帳號密碼外，2018年三月我們也觀察到一波不尋常的攻擊郵件，這種郵件附帶了一個藏在壓縮檔內的.url檔案。

當收件人在Windows下解開附件，并點擊.url檔時會詢問是否透過SMB通信協(xié)議取得并執(zhí)行遠端作為Downloader的.wsf檔案;但.url檔有個特殊之處：使用者光是「提取」.url檔案，Windows就會主動向.url要求的位址以SMB通信協(xié)議要求信息.，此時已對遠端惡意主機泄漏收件人使用的IP與其電腦名稱。若url內指向的為遠端惡意主機的Samba路徑，且惡意主機上的Samba服務器啟用了NTLMv2驗證機制，當Windows自動拜訪該主機時，就會將使用者的密碼進行哈希運算后送至惡意主機進行驗證。雖然無法從哈希碼反推回實際的密碼，但若是密碼的強度不足，只要對密碼字典表進行哈希編碼后再做比對，就有很高的機會還原密碼，并進一步攻擊企業(yè)外部服務，以此密碼嘗試登錄。這算是釣魚郵件中一個很特別的例子!

隱而不顯的BEC詐騙事件

在2018年，BEC商業(yè)電子郵件詐騙事件發(fā)生頻率并沒有趨緩，根據(jù)ASRC研究中心與Softnext守內安的觀察，2018年的BEC郵件出現(xiàn)的高峰期為第三季。

最常遭受BEC詐騙郵件攻擊的產業(yè)以金融業(yè)、高科技制造業(yè)、制造業(yè)的比例最高。某些特定企業(yè)每一到兩個月就會遭到1~2次的BEC郵件攻擊，且這樣的攻擊會持續(xù)3個月以上。在遭遇BEC詐騙事件后，僅8.23%的企業(yè)會尋求專業(yè)安全廠商的協(xié)助，清查鑒識事件背后的信息安全問題。

美國聯(lián)邦調查局(FBI)網際網絡犯罪申訴中心在2018年7月發(fā)布的一則消息中指出，自2013年10月起至2018年5月，全球已曝光的BEC詐騙案件計有78,617件，損失金額超過125億美元;從2016年12月到2018年5月，已曝光的BEC詐騙損失金額成長了136%。

BEC詐騙與APT攻擊間有著相同的特性，黑客在事前經過長時間監(jiān)控觀察以及縝密計劃后發(fā)動攻擊，一旦被盯上，攻擊就有可能重復發(fā)生。若只把事后補救重點放在「款項追回」，未正視處理事件背后隱藏的信息安全問題，就算企業(yè)幸運追回款項，難保黑客不會再度發(fā)動攻擊。因此若不幸被詐騙，除了立即采取行動與警方、金融單位聯(lián)系外，也應尋求專業(yè)鑒識伙伴協(xié)助，協(xié)助清查鑒識受害電腦與關聯(lián)網絡，改善企業(yè)信息安全問題避免再度受黑。

比勒索更簡單的「恐嚇郵件」

恐嚇郵件，并沒有夾帶任何的惡意檔案或攻擊代碼，純粹是透過在心理上的恐嚇，迫使收到此類郵件的受害者因害怕而依照郵件的指示言聽計從。這些恐嚇信的收信人名單有不少是從過去社群網站或是大規(guī)模泄漏事件中取得的，因此在其內容會提供該收件者過去遭到泄漏的密碼，用以取信收件者相信自己的帳號確實遭到入侵。除了以密碼恫嚇收信者外，也有部分是用誆稱收信人電腦已被植入病毒，并透過收件者電腦的網路攝影機拍下一些敏感畫面，或收信者有機敏數(shù)據(jù)在入侵者手上的說詞來達到恐嚇的目的。

這類郵件最初皆由英文寫成，但在2018下半年后觀察到有語言變形的趨向，但不見得是直接攻擊使用該語言最多的地區(qū);再者，這類恐嚇信通常要求使用比特幣來進行支付，對于使用比特幣較不方便或禁止使用的地區(qū)，其恐嚇取財成功的機率應不會太高。

恐嚇郵件，并沒有夾帶任何的惡意檔案或攻擊代碼，純粹是透過在心理上的恐嚇

2019趨勢與結語

2018年曾出現(xiàn)的攻擊手法，2019年可能多半都還能沿用，來自電子郵件的攻擊從來不會絕跡，只會變形。2019年出現(xiàn)的攻擊郵件夾帶附件的比例可能會略為下降，以超鏈接配合遭到入侵的網站進行惡意程序下載攻擊，或騙取帳號密碼為主要攻擊方法。然而要特別留意的是，隨著多國語言自動翻譯技術的進步，未來的郵件攻擊的內文會更加流暢的以本地化語言進行社交工程攻擊。

因此，教育使用者提高信息安全意識固然重要，但若光是要求使用者提升安全意識，來防御多變的郵件攻擊恐怕已不足矣，企業(yè)更應提供使用者相較安全的電子郵件使用環(huán)境，如導入SPAM SQR ADM進階防御機制，以降低遭受攻擊的風險。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文