ASRC 2019 年第一季度電子郵件安全趨勢
責編:gltian |2019-05-17 13:10:462019 年第一季度,郵件服務器攻擊活動統計顯示,占比最高的是“以不存在的域名任意嘗試發送郵件”;其次是“消耗性攻擊:多個聯機到郵件主機,不進行動作或是以十分緩慢的方式響應以便能保持聯機,使郵件主機的資源消耗”。病毒郵件方面,占比最高的仍是“由遭到蠕蟲感染主機所發出的擴散感染郵件”,其中以“諾瓦病蟲 (MyDoom) ”活動最為活躍。在第一季度中,WinRAR 漏洞 APT 攻擊、GandCrab 勒索程序,以及合法空間掩護攻擊目的郵件需要特別當心!
郵件系統攻擊嘗試
第一季度中,全球郵件攻擊嘗試統計顯示,占比最高的是“發送機以任意不存在的域名嘗試對郵件主機發送郵件”;其次是“試圖消耗郵件主機運算資源的無用聯機”。需要特別留意的是,世界上仍有許多漫無目的嘗試測試郵件主機是否有設定不當,而可任意被用來轉發的“開放轉發 (OpenRelay) ”的試探。
中國的郵件服務器嘗試,較為多樣化,對比全球趨勢來看,集中性較不明確。
收件人攻擊嘗試
病毒郵件主要以遭到蠕蟲感染的主機所發出的擴散感染郵件為主。從全球趨勢來看,“諾瓦病蟲(MyDoom) ”是最大的蠕蟲郵件擴散源;其次為各種具備 Windows 感染能力,并在開機后會嘗試執行并常駐的病毒藉由郵件擴散。
中國的病毒郵件也呈現較多樣而分散的趨勢。與全球趨勢類似,以蠕蟲擴散型的病毒郵件為主,分別是“諾瓦病蟲 (MyDoom) ”與“天網病毒 (Netsky) ”。
在 2019 年第一季度中,除了常見的病毒郵件、釣魚鏈接外,以收件人為目標,并誘使收件人配合執行惡意程序的攻擊,我們特別舉出下列幾個值得注意的例子,請您謹慎提防。
WinRAR漏洞APT攻擊
大約在 2019 年 2 月 20 日披露了一個 WinRAR 長年潛在的漏洞。這個漏洞的肇因于 WinRAR 引用第三方函式庫 UNACEV2.DLL ,用于支持 ACE 這種壓縮格式。UNACEV2.DLL 存在一個解壓縮時可寫入及執行任意文檔的漏洞,且這個函式庫自 2005 年以來便沒有更新,造成了十多年以來 WinRAR 的各種版本皆受此漏洞的影響。由于WinRAR的開發團隊不握有 UNACEV2.DLL 的原始碼,因此在近期 WinRAR 5.7 版,以取消對 ACE 壓縮格式的支持的方式解決這個漏洞。
在該漏洞被披露的兩天內,ASRC垃圾信息研究中心 (Asia Spam-message Research Center) 與守內安團隊就偵測到了利用此漏洞的 APT 攻擊
雖然這個漏洞發生于解壓縮 ACE 格式的壓縮文件時才會觸發,很多個人或企業單位根本不使用或沒聽過 ACE 這種壓縮格式,因此可能會疏忽此漏洞的危險性。實際的攻擊,只要能呼叫出 UNACEV2.DLL ,不一定需要擴展名看來是 .ace 的壓縮文件。我們觀測到的攻擊來自遭到入侵的非公務郵箱,針對特定的高科技企業與政府單位發送含有漏洞利用的惡意文檔進行攻擊,這個文檔的擴展名是 .rar。當收件人試圖使用 WinRAR 解壓縮文件案查看其中內容時,便會遭到夾帶于惡意文檔中的惡意軟件攻擊,并在每次開機都會執行特定的惡意軟件。這個惡意軟件搜集加密受攻擊者的計算機機密信息,加密后,利用 Dropbox 免費空間進行惡意工具的下載與機密數據的上傳。
GandCrab 勒索程序
GandCrab 第一次被大眾關注是在 2018 年的 1 月,由羅馬尼亞的安全公司 Bitdefender、羅馬尼亞警政署、歐洲刑警組織連手揭露了這個惡意勒索軟件。這個勒索病毒的開發者十分積極,很快地在同年的 3 月 5 日,5 月 3 日先后釋出 GandCrab2.0 與 3.0 版本。GandCrab 最新版是 2019 年 2 月 19 日左右所推出的 5.2 版。
通過電子郵件發送 GandCrab v5.1 版的前導攻擊惡意文件
當 GandCrab 被觸發后,它會嘗試向外聯機至內建的上千個獨立主機列表,聯機成功后,它會開始進行感染主機的加密。遭到加密的文檔,文檔的擴展名為 5-10 碼隨機字母。GandCrab 主要勒索的目標是 Bitcoin、DASH 或其他虛擬貨幣。雖說 GandCrab 在全球都有其蹤跡,但在亞洲地區最大的受害國是南韓,其次為中國。值得慶幸的是守內安的用戶均沒有受到該勒索郵件的影響。
合法空間掩護攻擊目的
越來越多的免費文檔儲存、程序存儲空間、免費的網頁生成,被用來寄放惡意攻擊程序,或一頁式的網絡釣魚頁面,攻擊者再將這些惡意鏈接,通過釣魚郵件的方式進行發送以進行攻擊。由于這些網站本體都是合法的,只是某一頁、某個文檔不懷好意,因此,并不能直接將這些網站封鎖;而特定的某個惡意頁面或某個惡意文檔的存活時間也不長,但新的惡意頁面與文檔卻不停地快速生成。
Github.io 被用來建構釣魚網頁,通過釣魚郵件發送
釣魚頁面,主要目標是釣取電子郵件的密碼
寄宿在 windows.net 的網絡釣魚鏈接
結語
來自電子郵件的攻擊,不論是附件文檔或是超鏈接,要收件人直接辨別是否帶有惡意,是十分不容易的事。部分收件人為了進一步確認這些鏈接或文檔是否和自己工作內容相關,在危險的情況下直接開啟、預覽文檔,而造成入侵、感染事件時常發生。因此,以適當的安全作業流程搭配設備,盡量讓人員不要接觸問題郵件才能有效避免攻擊事件的發生。
關于 ASRC 垃圾信息研究中心
ASRC 垃圾信息研究中心 (Asia Spam-message Research Center),長期與 Softnext 守內安合作,致力于全球垃圾郵件、惡意郵件、網絡攻擊事件等相關研究事宜,并運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動等方式,促成產政學界共同致力于凈化網絡之電子郵件使用環境。更多信息請參考 www.asrc-global.cn
關于守內安
守內安信息科技(上海)有限公司(以下簡稱 “守內安”),是上海市政府及國家獎勵支持的自主研發高科技創新的“雙軟認定企業”和“高新技術企業”,鉆研郵件風險管理和信息安全內控管理。以電子郵件安全管理為核心,研發了一系列“電郵安全與合規”為中心的核心產品線,衍生到威脅防御與聯合防御體系。守內安十幾年來秉承“以客為尊”的服務理念,樹立了“服務?品質?值得信賴”的品牌理念,目前已擁有7000+家全球性企業級用戶,終端用戶達80,000,000+人次。
守內安受到廣大客戶認可的端口25 郵件安全生態防御明星產品:
- SPAM SQR: 防垃圾郵件過濾系統-提供勒索、APT及商業郵件詐騙等惡意郵件的防御。
- MSE: 電子郵件過濾審批系統-郵件事先過濾審批策略,防止數據通過郵件外泄(DLP)。
- MAE: 電子郵件歸檔審計系統-事后快速調閱,審計舉證與合規性。
- Mail SOC: 提供郵件巡航與RBL等偵測服務。
- SMRS: 外發郵件不通轉發安全中繼平臺服務。
服務咨詢:+86-021-51036007
官網:www.softnext.com.cn