2021第一季，疫情的影響似乎稍微趨緩，各國開始施打疫苗，為疫情的終結(jié)帶來一線曙光。一月及二月份，垃圾郵件與威脅郵件相較于去年第四季的狀況都是較為趨緩的;三月份的垃圾郵件及攻擊則明顯增多，相較于一、二月份大約增長了30%-40%左右。守內(nèi)安與 ASRC 研究中心整理出的特殊攻擊樣本如下：

[[402446]]

網(wǎng)絡(luò)服務(wù)使用依賴，導(dǎo)致釣魚風(fēng)險大增

釣魚郵件在第一季樣貌多元，除了傳統(tǒng)常見宣稱電子郵件有問題、驗證與重啟賬戶、要求變更密碼…等，也發(fā)現(xiàn)了許多釣魚郵件的巧妙心思，例如：利用疫情期間網(wǎng)絡(luò)服務(wù)使用頻繁的假冒快遞、各種影音串流服務(wù)、工作招聘等的各種釣魚，目標(biāo)在釣取電子郵件賬號密碼、各種在線服務(wù)的登入信息;或誘騙受害人開啟郵件中的惡意文件、惡意鏈接，以便進一步取得受害者計算機的控制權(quán)。

釣取電子郵件賬號密碼的釣魚郵件

假冒快遞的釣魚郵件，意圖誘導(dǎo)收件者點擊下載惡意文件

合法的服務(wù)持續(xù)遭到濫用，攻擊難以封鎖

封鎖惡意的去向或是來源，是信息安全防護的重要技巧。但有越來越多攻擊濫用了合法且知名的服務(wù)，例如：Google云盤、網(wǎng)頁窗體，或是一些云端主機的郵件派送服務(wù)等。這些遭到濫用的合法服務(wù)，大多為知名網(wǎng)絡(luò)服務(wù)提供商，不僅收件者會降低戒心，多數(shù)上網(wǎng)防御機制也會略過檢測，讓這類攻擊更加難以封鎖。

黑客利用 Google 窗體進行網(wǎng)絡(luò)釣魚

惡意文件誘騙偽裝種類繁多

第一季觀察到許多使用社交工程手法，試圖誘使目標(biāo)對象下載并執(zhí)行惡意文件的攻擊。其中社交工程所利用的理由相當(dāng)多元，下方案例以薪資問題為誘騙理由，要求受害者下載關(guān)聯(lián)附件查看。實際上，下載下來的是經(jīng)過打包的 PE 文件，主要組成為一個 PE 文件 WeChatAppUpdates.exe、一個dll文件 OutlookUpdate.dll 及一個作為餌的 Word 文件。首先會執(zhí)行 WeChatAppUpdates.exe，WeChatAppUpdates.exe會先關(guān)閉宿主計算機上的Windows Error Reporting Service等服務(wù)，再啟動常駐后門

試圖誘使目標(biāo)對象下載并執(zhí)行惡意文件的攻擊

值得注意的是，這個下載的惡意執(zhí)行文件偽裝為 WORD 圖標(biāo)，并且以一長串文字做為文件名，如不仔細觀察很難發(fā)現(xiàn)這并非 WORD 文件。且在不慎被執(zhí)行之后，也會開啟一個 WORD 文件做為煙霧彈。因此，受害者遭到后門植入后也很難在第一時間察覺異狀。

圖標(biāo)偽裝為 WORD 文件，并以長串文字命名，讓人不易察覺擴展名為.exe

大量惡意的Office 文件，通過遠程加載惡意樣本躲避掃描

在第一季我們發(fā)現(xiàn)大量的惡意 Office 文件被散播。這些郵件以英文或多國語言撰寫，使用冒名的社交工程手法。這些惡意文件多半是 Office 文件以 ZIP 壓縮的 XML 包裹格式，如：.docx、xlsx…等。將打包惡意文件拆解開，我們發(fā)現(xiàn)共通的手法：在惡意文件\文件格式\_rels\webSettings.xml.rels文件內(nèi)，加載一個遠程的惡意樣本文件。

惡意文件中，遠程加載的惡意樣本

這個惡意樣本被放置于 ColoCrossing 虛擬主機上，最終會下載一個 vbc.exe 并在宿主端運行，伺機竊取宿主主機的機密文件。這類型的惡意郵件在 2021 年第一季大量被觀察到，若就這類惡意文件來做檢查，本身并沒有明顯的VBA或惡意代碼包含在其內(nèi)，因此有機會躲過某些掃描機制。

惡意文件偽裝為Office文件

總結(jié)

務(wù)必要特別留意遠程下載惡意文件或程序的攻擊。這類攻擊，除了遠程服務(wù)器可掌控下載者的IP、時間、地點、瀏覽器版本外，也可任意更改下載的樣本，讓信息安全研究單位不易取得樣本;這類社交工程手法融合下載惡意文件的攻擊有復(fù)雜化的趨勢，即便受害者已經(jīng)十分提防，也不見得能察覺自己下載并執(zhí)行了惡意文件。

除了提高警覺、不打開、不下載來路不明的郵件與文件之外，萬一在不慎打開不明文件后，發(fā)現(xiàn)不是自己所預(yù)期的資料，一定要特別留意。建議企業(yè)單位應(yīng)定時對內(nèi)部進行信息安全檢測或掃描，確保企業(yè)內(nèi)部未被植入可長期竊取信息的后門，并留意各項不尋常的異狀。