ASRC 2024 年第一季电子邮件安全观察

作者：aqniu 日期：2024年05月09日阅：1,726

2024 年第一季电子邮件总量约较上季增加 30%，而针对账号、邮件服务器尝试的联机都比上一季增加更多。恶意邮件通过压缩文件形式发送的比例明显下降，取而代之的是直接发送恶意的 Office 及 PDF 文件的情况有明显增长。

以下为本季值得留心的攻击样本：

注意假冒订单，以混淆欺骗获得系统初始存取权

伪造订单的攻击手法依旧频繁出现，本季我们也拦截到有这样的样本信。通常这类型的伪造订单都会附上一个钓鱼链接，让收件者可利用这个钓鱼链接查看订单详情，实际上是用来骗取敏感信息。也有部分攻击会附上伪装成订单文件的恶意文件，诱骗收件人打开并执行里面的恶意代码。这一季我们观察到的案例属于后者，以 zip压缩格式携带一个恶意的 .vbe 恶意代码，再以双重扩展名的方式，试图蒙骗默认未显示扩展名的 Windows 系统。这个恶意的 .vbe 文件其实是经过混淆手段的 PowerShell Code，实际上是种 Downloader (GuLoader)，它可以依靠混淆欺骗手段来获得系统的初始访问权限，进而避开防病毒软件的侦测。

.SVG 附文件攻击不常见，加入过滤审核规则提高安全性

第一季的攻击邮件中，我们也发现了携带 .svg 附件文件的钓鱼邮件。.svg 文件是可缩放向量图形（英语：Scalable Vector Graphics，缩写：SVG），基于可延伸标记式语言（XML），用于描述二维向量图形的图形格式。SVG 由 W3C 制定，是一个开放标准，一般的操作系统会以浏览器作为这类文件的默认开启程序。

以我们看到的例子，这封钓鱼邮件在内容中隐藏了一个钓鱼邮件链接，链接看起来是这样：https://accounts==2Egoogle.com+signin=secure+v2+identifier=passive@accounts.google.com+s=ignin=secure+v2+identifier=passive@dropbox.intiute.shop

链接被用来混淆收件人，实际上真正指向的位置为：dropbox.intiute.shop。当点击访问上述地址时会直接转址至：https://dropbox————-updating.blogspot.com/，这才是最终的钓鱼页面。

而携带于信中的 .svg 文件，也会引导收件人访问钓鱼网站，当收件人点开附件 .svg 文件后，会请求浏览器并直接连往钓鱼网站。通过查验 .svg 的原代码，可看到钓鱼网站的真正地址，此时已不需要再用混淆手段来欺骗收件人。

事实上，.svg 文件可以完整的编写 HTML 及 Javascript 的程序代码。由于操作系统默认会以浏览器开启，所以 .svg 可以通过浏览器进行更复杂的攻击。而 .svg 作为电子邮件的附件并不常见，因此在邮件的过滤规则中加入对 .svg 文件的审核或过滤，可以有效提高邮件防护的安全性。

二维码钓鱼邮件持续泛滥，移动设备安全风险高

携带二维码的钓鱼邮件在这一季持续泛滥。这类钓鱼邮件最大的特色就事携带二维码，而携带的方式：可能作为附件、以 HTML code 加上编码内嵌于邮件内容或附件、外连的 URL，或直接内嵌于 Office 或 PDF 文件内。这类型钓鱼邮件主要骗取的目标为：姓名、信用卡号、身份证、手机号码…等数据，作为后续盗刷，或冒名购买跨国服务、工具之用。二维码解码后，通常都只携带一串钓鱼邮件超链接，这些链接多半使用 .sms 或 .bond 等，申请管理较为松散的顶级网域。

二维码钓鱼邮件是危险的，通常收件人收到后，会直接以手机等移动设备扫描二维码，这让收件人的移动设备暴露在危险之中，尤其，当攻击者搭配某些手机浏览器的漏洞一起利用时。企业组织的网安防护手段不见得会将员工自带的手机等移动设备一并考虑进去，一旦移动设备遭到入侵，就会成为个人或企业组织敏感信息泄漏的严重破口。

缩址服务隐藏恶意目的，让恶意文件更容易躲避检查

缩址服务，通常是为了让过长的网址方便记忆、呈现美观，或为了进一步统计收集信息。但缩址服务也可能成为攻击者的工具，许多的攻击或钓鱼邮件会将真正的恶意网址通过缩址隐藏自己。当真正的恶意链接被缩址服务隐藏，邮件过滤机制与终端的扫毒机制就很难发挥侦测的作用；收件人的风险将会在触发缩址并跳转至真正风险地址的时候出现，有很大的风险会使浏览器遭到利用。

缩址也可以是复杂攻击的一部分，本季出现为数不少的 .xls 附件文件，内嵌PDF 文件，并以 VBA 至缩址地址下载、触发恶意文件。整个恶意文件脱机分析时，并没有明显的恶意行为，也没有恶意网址，真正的恶意发生在触发缩址并转往真正的恶意链接时才出现。这种攻击的方法让恶意文件更容易躲避检查，也能保护或置换真正的恶意网址。

结论

攻击及防护手段持续竞赛，除了网安设备需要不断升级外，人员的教育训练也应该根据攻击的变化与时俱进；二维码钓鱼邮件带来的风险，除了设法杜绝收件人接触这类邮件、教育训练外，企业也需要手机等移动设备的管理 (MDM)，在个人方面最好都能采取多因子认证 (MFA) 的保护措施，万一泄漏了账号密码或敏感信息时，可以多一道安全保护。Google 于 2009 年推出的缩址服务，由于难以监管，早在 2018 便宣布停止服务，已存在的缩址也在服务停止后一年内失效。服务的停用让更多人关注缩址服务能被恶意利用的话题，因此，在正式的邮件通信中，我们建议应尽量避免使用缩址服务；而邮件中带有缩址的审核强度则应从严。

文章来源：守内安

关键词: