ASRC 2019 年第一季度電子郵件安全趨勢
責(zé)編:gltian |2019-05-13 10:57:102019 年第一季度,郵件服務(wù)器攻擊活動統(tǒng)計(jì)顯示,占比最高的是 “以不存在的域名任意嘗試發(fā)送郵件”;其次是 “消耗性攻擊:多個(gè)聯(lián)機(jī)到郵件主機(jī),不進(jìn)行動作或是以十分緩慢的方式響應(yīng)以便能保持聯(lián)機(jī),使郵件主機(jī)的資源消耗”。
病毒郵件方面,占比最高的仍是 “由遭到蠕蟲感染主機(jī)所發(fā)出的擴(kuò)散感染郵件”,其中以“諾瓦病蟲 (MyDooom) ”活動最為活躍。在第一季度中,WinRAR 漏洞 APT 攻擊、GandCrab 勒索程序,以及合法空間掩護(hù)攻擊目的郵件需要特別當(dāng)心!
郵件系統(tǒng)攻擊嘗試
第一季度中,全球郵件攻擊嘗試統(tǒng)計(jì)顯示,占比最高的是 “發(fā)送機(jī)以任意不存在的域名嘗試對郵件主機(jī)發(fā)送郵件”;其次是 “試圖消耗郵件主機(jī)運(yùn)算資源的無用聯(lián)機(jī)”。需要特別留意的是,世界上仍有許多漫無目的嘗試測試郵件主機(jī)是否有設(shè)定不當(dāng),而可任意被用來轉(zhuǎn)發(fā)的 “開放轉(zhuǎn)發(fā) (OpenRelay) ” 的試探。
中國的郵件服務(wù)器嘗試,較為多樣化,對比全球趨勢來看,集中性較不明確。
收件人攻擊嘗試
病毒郵件主要以遭到蠕蟲感染的主機(jī)所發(fā)出的擴(kuò)散感染郵件為主。從全球趨勢來看,“諾瓦病蟲(MyDooom) ” 是最大的蠕蟲郵件擴(kuò)散源;其次為各種具備 Windows 感染能力,并在開機(jī)后會嘗試執(zhí)行并常駐的病毒藉由郵件擴(kuò)散。
中國的病毒郵件也呈現(xiàn)較多樣而分散的趨勢。與全球趨勢類似,以蠕蟲擴(kuò)散型的病毒郵件為主,分別是 “諾瓦病蟲 (MyDooom) ” 與 “天網(wǎng)病毒 (Netsky) ”。
在 2019 年第一季度中,除了常見的病毒郵件、釣魚鏈接外,以收件人為目標(biāo),并誘使收件人配合執(zhí)行惡意程序的攻擊,我們特別舉出下列幾個(gè)值得注意的例子,請您謹(jǐn)慎提防。
WinRAR漏洞APT攻擊
大約在 2019 年 2 月 20 日披露了一個(gè) WinRAR 長年潛在的漏洞。這個(gè)漏洞的肇因于 WinRAR 引用第三方函式庫 UNACEV2.DLL ,用于支持 ACE 這種壓縮格式。UNACEV2.DLL 存在一個(gè)解壓縮時(shí)可寫入及執(zhí)行任意文檔的漏洞,且這個(gè)函式庫自 2005 年以來便沒有更新,造成了十多年以來 WinRAR 的各種版本皆受此漏洞的影響。由于WinRAR的開發(fā)團(tuán)隊(duì)不握有 UNACEV2.DLL 的原始碼,因此在近期 WinRAR 5.7 版,以取消對 ACE 壓縮格式的支持的方式解決這個(gè)漏洞。
在該漏洞被披露的兩天內(nèi),ASRC 與守內(nèi)安團(tuán)隊(duì)就偵測到了利用此漏洞的 APT 攻擊
雖然這個(gè)漏洞發(fā)生于解壓縮 ACE 格式的壓縮文件時(shí)才會觸發(fā),很多個(gè)人或企業(yè)單位根本不使用或沒聽過 ACE 這種壓縮格式,因此可能會疏忽此漏洞的危險(xiǎn)性。實(shí)際的攻擊,只要能呼叫出 UNACEV2.DLL ,不一定需要擴(kuò)展名看來是 .ace 的壓縮文件。
我們觀測到的攻擊來自遭到入侵的非公務(wù)郵箱,針對特定的高科技企業(yè)與政府單位發(fā)送含有漏洞利用的惡意文檔進(jìn)行攻擊,這個(gè)文檔的擴(kuò)展名是 .rar。當(dāng)收件人試圖使用 WinRAR 解壓縮文件案查看其中內(nèi)容時(shí),便會遭到夾帶于惡意文檔中的惡意軟件攻擊,并在每次開機(jī)都會執(zhí)行特定的惡意軟件。這個(gè)惡意軟件搜集加密受攻擊者的計(jì)算機(jī)機(jī)密信息,加密后,利用 Dropbox 免費(fèi)空間進(jìn)行惡意工具的下載與機(jī)密數(shù)據(jù)的上傳。
GandCrab 勒索程序
GandCrab 第一次被大眾關(guān)注是在 2018 年的 1 月,由羅馬尼亞的安全公司 Bitdefender、羅馬尼亞警政署、歐洲刑警組織連手揭露了這個(gè)惡意勒索軟件。這個(gè)勒索病毒的開發(fā)者十分積極,很快地在同年的 3 月 5 日,5 月 3 日先后釋出 GandCrab2.0 與 3.0 版本。GandCrab 最新版是 2019 年 2 月 19 日左右所推出的 5.2 版。
通過電子郵件發(fā)送 GandCrab v5.1 版的前導(dǎo)攻擊惡意文件
當(dāng) GandCrab 被觸發(fā)后,它會嘗試向外聯(lián)機(jī)至內(nèi)建的上千個(gè)獨(dú)立主機(jī)列表,聯(lián)機(jī)成功后,它會開始進(jìn)行感染主機(jī)的加密。遭到加密的文檔,文檔的擴(kuò)展名為 5-10 碼隨機(jī)字母。GandCrab 主要勒索的目標(biāo)是 Bitcoin、DASH 或其他虛擬貨幣。雖說 GandCrab 在全球都有其蹤跡,但在亞洲地區(qū)最大的受害國是南韓,其次為中國。值得慶幸的是守內(nèi)安的用戶均沒有受到該勒索郵件的影響。
合法空間掩護(hù)攻擊目的
越來越多的免費(fèi)文檔儲存、程序存儲空間、免費(fèi)的網(wǎng)頁生成,被用來寄放惡意攻擊程序,或一頁式的網(wǎng)絡(luò)釣魚頁面,攻擊者再將這些惡意鏈接,通過釣魚郵件的方式進(jìn)行發(fā)送以進(jìn)行攻擊。由于這些網(wǎng)站本體都是合法的,只是某一頁、某個(gè)文檔不懷好意,因此,并不能直接將這些網(wǎng)站封鎖;而特定的某個(gè)惡意頁面或某個(gè)惡意文檔的存活時(shí)間也不長,但新的惡意頁面與文檔卻不停地快速生成。
Github.io 被用來建構(gòu)釣魚網(wǎng)頁,通過釣魚郵件發(fā)送
釣魚頁面,主要目標(biāo)是釣取電子郵件的密碼
寄宿在 windows.net 的網(wǎng)絡(luò)釣魚鏈接
結(jié)語
來自電子郵件的攻擊,不論是附件文檔或是超鏈接,要收件人直接辨別是否帶有惡意,是十分不容易的事。部分收件人為了進(jìn)一步確認(rèn)這些鏈接或文檔是否和自己工作內(nèi)容相關(guān),在危險(xiǎn)的情況下直接開啟、預(yù)覽文檔,而造成入侵、感染事件時(shí)常發(fā)生。因此,以適當(dāng)?shù)陌踩鳂I(yè)流程搭配設(shè)備,盡量讓人員不要接觸問題郵件才能有效避免攻擊事件的發(fā)生。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧