由于疫苗的開發(fā)與大量普及，疫情的陰霾，終于露出了一線曙光。許多地區(qū)開始解封，世界開始流動，就在此時，變種病毒對疫苗的抗性產(chǎn)生了變化，讓原本開始解封的地區(qū)又拉起警報，第二季充滿了希望與驟變，信息安全也在時刻角逐，是否也能及時防護(hù)與應(yīng)對呢?

[[412953]]

第二季整體垃圾郵件量相較上一季增加 50%，帶有 Office 惡意文件的攻擊郵件則較上一季增加 3.5 倍，脫機(jī)釣魚的數(shù)量成長了 2.4 倍;針對 Microsoft Office 漏洞利用則以 CVE201711882 及 CVE20180802 為主。

守內(nèi)安與ASRC針對第二季重要的攻擊手法與樣本進(jìn)行以下分析：

詐騙及釣魚郵件仍十分盛行

第二季全球疫情因為病毒變種的關(guān)系，許多地區(qū)仍實施遠(yuǎn)程工作或在家上班。釣魚郵件看似威脅性不大，可一旦賬號密碼被釣，攻擊者即可能透過開放的遠(yuǎn)程工作對外服務(wù)，及單一賬號認(rèn)證服務(wù) (SSO，Single sign-on) 合法使用企業(yè)開放的服務(wù)，而形成入侵企業(yè)的破口。

釣魚及詐騙郵件在第二季非常盛行

連外下載的惡意 Office 文件

第二季，我們發(fā)現(xiàn)許多惡意的 Office 文件樣本。這些 Office 文件樣本的攻擊方式不利用漏洞，也未包含可疑的宏或 VBA 等操作，而是單純的利用 XML連接外部開啟另一個惡意文件。這種樣本在今年初就開始流竄，到了第二季，有明顯增多的趨勢。

以訂單作為社交工程的手段，誘騙受害者開啟惡意文件

這種連外開文件的惡意 Office 文件樣本，多半以 docx 的方式夾在電子郵件的附件中，少數(shù)用 xls 及ppam 的方式做夾帶。連外下載超鏈接會透過短網(wǎng)址，如：xy2.eu、bit.ly、linkzip.me、bit.do、u.nu、is.gd 或其他經(jīng)過編碼的網(wǎng)址藏身;下載的惡意文件則多為 .wbk (Microsoft Word 備份)、.wiz (Microsoft Wizard File)、.dot (Microsoft Word 范本)、.doc，雖然有些類型的文檔不常見，但只要計算機(jī)安裝 Microsoft Office 相關(guān)的軟件，就能開啟這些惡意文件并執(zhí)行。惡意文件被執(zhí)行后，會向中繼主機(jī)抓取 vbc.exe 或 reg.exe 并執(zhí)行，接著成為常駐的后門程序。

雙擴(kuò)展名的惡意文檔

第二季出現(xiàn)不少雙重擴(kuò)展名的攻擊性電子郵件。由于部分自動程序或操作習(xí)慣的緣故，會出現(xiàn)一個檔案看似有兩個擴(kuò)展名，而計算機(jī)對于這種檔案的判讀是以最后一個擴(kuò)展名為主。

以下整理出需要特別留意的雙重擴(kuò)展名：

其中比較特別的是 .pdf.ppam 的攻擊，這種攻擊利用鏈接至一個短網(wǎng)址，再轉(zhuǎn)向 Google 的blogspot 服務(wù)，透過解碼 blogspot 服務(wù)暗藏的信息，再連往俗稱「網(wǎng)站時光機(jī)」archive.org 的服務(wù)下載攻擊程序。這種種的行為，都是為了躲開一層層的信息安全防護(hù)關(guān)卡。

.pdf.ppam 的攻擊附件被執(zhí)行后，會透過暗藏的 vba 向外下載惡意文件

暗藏的 vba 連往 bitly.com 的短網(wǎng)址位置

短網(wǎng)址指向空白內(nèi)容的 Google blogspot 頁面

玄機(jī)藏在網(wǎng)頁的原始碼中，惡意程式的編碼文件，被放在俗稱「網(wǎng)站時光機(jī)」archive.org 的合法服務(wù)內(nèi)

編碼文件進(jìn)行譯碼，可看到完整的攻擊程序

總結(jié)

綜合上述樣本的攻擊來看，使用不易偵測的手法來躲避觸發(fā)安全警報是攻擊者的趨勢，但我們從這些樣本也發(fā)現(xiàn)，由于過度的迂回，及使用模糊的合法服務(wù)，這些都會與企業(yè)一般的溝通互動行為相違背。因此，防護(hù)的安全策略，就可以從這些差異中被制定出來!

除了上述介紹的攻擊樣本外，我們也看見了加入更多混淆的 CVE201711882 攻擊，因此安全設(shè)備的特征更新不可或缺;而在某些攻擊郵件的標(biāo)頭，有時也能發(fā)現(xiàn)被隱藏的重要信息，比方 References 的標(biāo)頭有時會透露出同樣遭受此波攻擊的受害者或企業(yè)，在調(diào)查事件時便可對攻擊者的目的進(jìn)行推演。