ASRC 2019 年郵件安全趨勢回顧
責編:gltian |2020-03-09 13:38:38概觀
根據ASRC 研究中心 (Asia Spam-message Research Center) 與守內安的觀察,2019 年總體來說,垃圾郵件與病毒郵件的數量呈現均勻分布,沒有哪個月份特別爆量,但是相較于 2018 年,數量稍有增長。郵件量爆發、詐騙郵件與釣魚攻擊在 2019 年第四季度達到全年高峰;BEC詐騙郵件的數量雖然降低,但是BEC事件并未因此緩和。CVE-2014-4114、CVE-2018-0802、CVE-2017-11882這三個 Microsoft Office 文件漏洞利用全年可見;2019 年第一季度被揭露的 WinRAR 漏洞 (包含CVE-2018-20250、CVE-2018-20251、CVE-2018-20252與CVE-2018-20253),皆被用于APT攻擊或是滲透測試、紅隊演練。
統計
垃圾郵件占比趨勢統計
2019 年垃圾郵件平均約占總體郵件的 83.67%,相較于2018年的占比增加了 6% 左右;2019 年每個月的垃圾郵件占比幾乎都在80%以上,月份之間的波動很平均,且多數月份垃圾郵件占比都較 2018 年來得高。
垃圾郵件中的病毒郵件
垃圾郵件中,一般病毒的占比大約在 0.1~0.2% 之間。2018 年在第四季度的波動幅度較大,2019 年則平均占比都維持在0.15%之上。
SMTP DoS攻擊
同一個 IP 集中發送大量郵件,并可能造成SMTP服務阻塞或中斷的攻擊,多半發生在第四季度,可能因為第四季度為消費旺季,雙十一、雙十二、圣誕節與跨年接踵而來,搭配 EDM 與 Phishing 一起出現。但是 2019除了第四季度外,在四月及六月類型的攻擊也都有明顯上升的跡象。
郵件附件類型
電子郵件中,常用的附件類型,可能被用以攻擊的機率大概有多少呢?我們統計了2018、2019年的數據,最常用來攻擊的辦公文件為Word文件 (注:凡含有不當目的的Word文件皆從嚴認定),其次為Excel文件;多數操作系統都可以直接支持ZIP解壓縮,因此ZIP壓縮格式較常被用來夾帶惡意文件。
APT攻擊郵件
2018 年 APT 攻擊郵件最常見的是 Office 漏洞利用的手法,較常被利用的漏洞編號分別是 OLE 漏洞 (CVE-2014-4114) 與方程式漏洞 (CVE-2017-11882)。
2019 年 APT 攻擊郵件最常見利用的Office漏洞編號為CVE-2014-4114、CVE-2018-0802、CVE-2017-11882,大致上承繼了 2018 年的利用情況。
詐騙郵件
2018 年的 BEC 與 419 詐騙占比大約各占一半。2019 年 BEC 與 419 詐騙占比發生了不一樣的變化,BEC 詐騙與 419 詐騙郵件總量相較 2018 年的總量下降;雖然 BEC 詐騙郵件下降的幅度高于 419 詐騙,并不表示 BEC 詐騙的風險跟著下降了。相反,BEC 詐騙郵件顯得更有策略性,不會過早介入商談中的交易,也減少接觸不必要收到 BEC 郵件的人員,大幅提高 BEC 詐騙的成功機率。
重要趨勢
信任來源飽受挑戰
電子郵件的可信度,在近年來不停地受到挑戰,尤其 BEC 事件高發的情況下,對于郵件中提及異常的變更事項,都需要特別留意,尤其是匯款賬號的變更,一定要通過電子郵件以外的渠道再次進行確認。
其次需要特別注意的是在電子郵件內的超鏈接。并不是超鏈接帶有可信賴的域名,就表示這樣的超鏈接不帶有威脅!也不是所有惡意的超鏈接都必然會下載惡意軟件,或需要被攻擊者配合輸入賬號密碼相關數據,畢竟,并非所有人使用網絡服務都會隨手注銷。在 2017 年開始出現釣魚郵件結合 Google OAuth,就是企圖蒙騙收件人通過點擊一個共享文件的鏈接,授與攻擊者存取 Google App 的權限,如今類似的手法也開始出現在 Office 365。
最后,白名單一定要慎用,看似來自熟悉的同事、供應商的郵件,也有可能隱藏惡意攻擊!
供應鏈攻擊是國家級資助的 APT 攻擊常用的手段。攻擊者的主要目標可能具備了很高的警戒意識與防護能力,因此攻擊者可從主要目標的合作對象下手,之后再通過主要目標對合作對象的信任,直接穿過各種防護措施進行攻擊。
(合法域名空間遭到濫用的實例)
釣魚郵件與詐騙郵件泛濫
2019 年電子郵件中,帶有惡意鏈接的數量,大約是 2018 年的 2.8 倍。釣魚郵件為了取信收件人點擊,多半會使用一些當地化用語及社交工程的手法。由于釣魚郵件主要目的是騙取網絡服務的賬號密碼或其他機密數據,因此多半在點擊之后,會通過瀏覽器連往一個收集這些機密資料的釣魚網站或釣魚窗體,再誘騙受害者輸入其機密數據。
瀏覽器的開發商也注意到類似的問題,于是紛紛在網址列加入了檢查與提醒的功能,希望能藉此保護使用者。然而攻擊者也開始改變做法,在電子郵件中直接夾入一個惡意的靜態 HTML 頁面,誘騙收件人填入機密數據,但是這個頁面通過瀏覽器打開時,網址列顯示的是本地端的儲存地址而非遠程的釣魚網站。當收件人填完數據按下發送后,瀏覽器即以 POST 搭配加密聯機的方式,將機密數據送往釣魚網站,這樣的釣魚手段能略過多數的瀏覽器保護措施。這類型的攻擊郵件,在 2019 年第四季度大量出現。
(惡意的靜態HTML釣魚郵件)
Office 文件漏洞充滿威脅
屢試不爽的 Office 文件漏洞,一直是攻擊者愛用的武器之一。除了作業人員、防病毒軟件對文檔的警覺性較低外,許多人所使用的 Office 不會經常性更新。除了公司預算的問題外,原本就使用了非正版Windows,或擔心兼容性、使用上的適應性,以及缺乏漏洞修補的概念,都是使用者不愿更新的原因。
根據 ASRC 的統計,2018 年最常見的郵件漏洞利用攻擊為 OLE 漏洞 (CVE-2014-4114) 與方程式漏洞 (CVE-2017-11882)。2019 年,CVE-2014-4114 仍持續被利用,且在第三季度爆發大量的攻擊樣本,主要目標產業為電子、食品、醫療相關產業;CVE-2018-0802 則做為 CVE-2017-11882 其后續的衍生變形攻擊持續存在。2020 年初剛剛被披露的 CVE-2020-0674 及其后續影響力,我們也將持續關注。
結論
2020年是5G基礎建設部署、成熟加速的一年,隨著整體網速的加快,移動應用服務將更趨復雜化,因此,個人信息遭到刺探、外泄的速度與規模、攻擊的速度及頻率,都會跟著大幅提高;而惡意軟件也可以不必再拘泥文件大小的限制,更可朝功能完備的方向發展;加上量子計算機、云計算的推波助瀾,信息安全事故的發生與危害程度可能是過去難以想象的。電子郵件仍會是網絡攻擊重要的入侵渠道,單純的賬號密碼防護力漸趨薄弱,多因素驗證已是勢在必行。
關于 ASRC 垃圾訊息研究中心
ASRC 垃圾訊息研究中心 (Asia Spam-message Research Center),長期與守內安合作,致力于全球垃圾郵件、惡意郵件、網絡攻擊事件等相關研究事宜,并運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動等方式,促成產官學界共同致力于凈化因特網之電子郵件使用環境。更多信息請參考 www.asrc-global.cn