2022年第二季度电子邮件安全观察
作者: 日期:2022年07月04日 阅:2,407

日前,ASRC研究中心与守内安联合发布了《ASRC 2022年第二季电子邮件安全报》。报告显示,本季来自电子邮件的攻击,仍以钓鱼邮件为主;其次是带有加密病毒附件的邮件,其数量较上个季度约增长4倍。通过大量联机攻击的次数约为上季度的两倍。同时本季度也有新的攻击手法及漏洞被发现,需对后续漏洞利用情况提高警惕。

通过PDF掩护夹带恶意Office文件

本季我们发现有夹带恶意Office PDF的格式文件。这种恶意文件本体,是一个利用了Excel默认密码加密过的恶意xls文件,所利用的漏洞为CVE-2017-11882,内嵌于PDF的附件内,利用PDF编码作为掩护,使得防毒或网络安全检测软件极难发现。当受害者不慎通过Adobe Acrobat Reader等PDF阅读工具开启了这个恶意的PDF文件时,会自动询问是否要开启其中的恶意附件,若受害者不慎同意开启,则恶意文件会立即在受害者的计算机上安装后门程序。要防范此类攻击,除了采用较好的网安查毒检测机制外,在打开文件时的任何软件警示最好都不要轻易忽视!

夹带恶意软件的PDF文件

Adobe Acrobat Reader等PDF阅读工具开启了这个恶意的PDF文件时,会自动询问是否要开启其中的恶意附件,若不同意则不会触发后续的恶意程序;若通过 Chrome等功能较单一的PDF阅读工具,打开时则不会显示该PDF内嵌有附件

恶意代码内嵌于附件的PDF中,利用PDF编码作为掩护,使得防毒或网安检测软件极难辨识

通过电子邮件触发Follina漏洞攻击

微软于5月30日公布位于MSDT(MS Support Diagnostic Tool) 的Windows漏洞CVE-2022-30190,这个漏洞被命名为Follina,因为一开始发现的攻击文件名有着0438这个数字 (05-2022-0438.rar),0438是意大利 Follina的区号,因而得名。这个漏洞是Windows本身的漏洞,但触发方式可通过电子邮件来进行:在电子邮件中以附件文件夹带一个恶意的Office文件或是RTF格式文件,并利用Office程序向外抓取一个恶意的HTML ,再借此恶意HTML使用「ms-msdt」MSProtocol URI scheme以加载一段程序代码,触发PowerShell执行。

透过WORD的XML向外请求恶意的HTML ole对象

恶意的HTML通过Office程序的权限执行后,使用「ms-msdt」MSProtocol URI scheme以加载一段程序代码,触发PowerShell执行

微软MSDT延伸漏洞——DogWalk

与Follina同样是MSDT通过电子邮件的利用,另一种攻击方式,是通过电子邮件寄送恶意超链接的方式,令受害者下载一个恶意的diagcab文件,并以社交工程的方式诱骗受害者点击才能触发。触发后利用路径/目录穿越(Path Traversal),允许攻击者将任何文件,存在文件系统任何地方,比如Windows的“启动”文件夹中,进行长期的潜伏,并且这个过程完全是静默的。这种攻击方式有另一个昵称为DogWalk。

解码HTML 文件中的压缩文件

在过去,将各种威胁文件隐藏在压缩文件里,是很常见的行为。因为压缩文件给了恶意软件一个外壳,需要进行解压缩才能分析,但这对于多数的杀毒分析机制都不是什么大问题。于是,攻击者在压缩文件加上密码,并于邮件中告知受害者密码,这就给了病毒附件机会躲过杀毒检测并执行后续的后门安装。我们在本季看到了一个有别于传统攻击手段的利用。

这个特别的利用方式是,在电子邮件的附件中放入一个HTML文件,当这个HTML被受害者点击后,便会“下载”一个加密的恶意文件。事实上,这并非真的从网络上“下载”一个恶意文件,而是通过浏览器,解码出内嵌于HTML内的一个加密恶意文件,由于这个文件不是从外部而来,因此浏览器的文件下载保护,及Windows内建的“网络标记”(Mark of the Web)保护也会因此失效。根据我们分析的恶意样本,加密的zip里是一个PE文件的后门程序。

电子邮件的附件文件中放入一个HTML文件,再藉由这个HTML被受害者点击后,下载一个加密的恶意文件

通过浏览器,解碼出内嵌于HTML内的一个加密恶意文件,文件并非从外部而来

结论

在电子邮件安全在早期还不受重视时,多数的收信软件或是Webmail,几乎都能像浏览器一样完整的执行各种网页程序。随着时间推移,大家慢慢意识到电子邮件这个通道若不进行管控或限制,会是一个很容易被主动攻击的突破口。因此,现在的收信软件或是Webmail都不再能直接执行各种网页程序。攻击者在演化的过程中留意到了电子邮件可夹带各种附件的可能性,开始通过夹带各种恶意文件以利用这些文件开启软件的漏洞。HTML可以调用本地浏览器开启,在过去经常被用来做脱机钓鱼,这次我们看到了脱机下载文件攻击样本,未来在呼叫浏览器的利用方面恐怕将更加深化及普及化。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章