2022年第二季度电子邮件安全观察

admin
admin
admin
102359
文章
87
评论
2022年7月4日13:29:20评论24 views字数 2179阅读7分15秒阅读模式

点击蓝字关注我们




2022年第二季度电子邮件安全观察


日前,ASRC研究中心与守内安联合发布了《ASRC 2022年第二季电子邮件安全报》。报告显示,本季来自电子邮件的攻击,仍以钓鱼邮件为主;其次是带有加密病毒附件的邮件,其数量较上个季度约增长4倍。通过大量联机攻击的次数约为上季度的两倍。同时本季度也有新的攻击手法及漏洞被发现,需对后续漏洞利用情况提高警惕。


通过PDF掩护夹带恶意Office文件


本季我们发现有夹带恶意Office PDF的格式文件。这种恶意文件本体,是一个利用了Excel默认密码加密过的恶意xls文件,所利用的漏洞为CVE-2017-11882,内嵌于PDF的附件内,利用PDF编码作为掩护,使得防毒或网络安全检测软件极难发现。当受害者不慎通过Adobe Acrobat Reader等PDF阅读工具开启了这个恶意的PDF文件时,会自动询问是否要开启其中的恶意附件,若受害者不慎同意开启,则恶意文件会立即在受害者的计算机上安装后门程序。要防范此类攻击,除了采用较好的网安查毒检测机制外,在打开文件时的任何软件警示最好都不要轻易忽视!


2022年第二季度电子邮件安全观察

夹带恶意软件的PDF文件


2022年第二季度电子邮件安全观察

Adobe Acrobat Reader等PDF阅读工具开启了这个恶意的PDF文件时,会自动询问是否要开启其中的恶意附件,若不同意则不会触发后续的恶意程序;若通过 Chrome等功能较单一的PDF阅读工具,打开时则不会显示该PDF内嵌有附件


2022年第二季度电子邮件安全观察

恶意代码内嵌于附件的PDF中,利用PDF编码作为掩护,使得防毒或网安检测软件极难辨识


通过电子邮件触发Follina漏洞攻击


微软于5月30日公布位于MSDT(MS Support Diagnostic Tool) 的Windows漏洞CVE-2022-30190,这个漏洞被命名为Follina,因为一开始发现的攻击文件名有着0438这个数字 (05-2022-0438.rar),0438是意大利 Follina的区号,因而得名。这个漏洞是Windows本身的漏洞,但触发方式可通过电子邮件来进行:在电子邮件中以附件文件夹带一个恶意的Office文件或是RTF格式文件,并利用Office程序向外抓取一个恶意的HTML ,再借此恶意HTML使用「ms-msdt」MSProtocol URI scheme以加载一段程序代码,触发PowerShell执行。


2022年第二季度电子邮件安全观察

透过WORD的XML向外请求恶意的HTML ole对象


2022年第二季度电子邮件安全观察

恶意的HTML通过Office程序的权限执行后,使用「ms-msdt」MSProtocol URI scheme以加载一段程序代码,触发PowerShell执行


微软MSDT延伸漏洞——DogWalk


与Follina同样是MSDT通过电子邮件的利用,另一种攻击方式,是通过电子邮件寄送恶意超链接的方式,令受害者下载一个恶意的diagcab文件,并以社交工程的方式诱骗受害者点击才能触发。触发后利用路径/目录穿越(Path Traversal),允许攻击者将任何文件,存在文件系统任何地方,比如Windows的“启动”文件夹中,进行长期的潜伏,并且这个过程完全是静默的。这种攻击方式有另一个昵称为DogWalk。


解码HTML 文件中的压缩文件


在过去,将各种威胁文件隐藏在压缩文件里,是很常见的行为。因为压缩文件给了恶意软件一个外壳,需要进行解压缩才能分析,但这对于多数的杀毒分析机制都不是什么大问题。于是,攻击者在压缩文件加上密码,并于邮件中告知受害者密码,这就给了病毒附件机会躲过杀毒检测并执行后续的后门安装。我们在本季看到了一个有别于传统攻击手段的利用。


这个特别的利用方式是,在电子邮件的附件中放入一个HTML文件,当这个HTML被受害者点击后,便会“下载”一个加密的恶意文件。事实上,这并非真的从网络上“下载”一个恶意文件,而是通过浏览器,解码出内嵌于HTML内的一个加密恶意文件,由于这个文件不是从外部而来,因此浏览器的文件下载保护,及Windows内建的“网络标记”(Mark of the Web)保护也会因此失效。根据我们分析的恶意样本,加密的zip里是一个PE文件的后门程序。


2022年第二季度电子邮件安全观察

电子邮件的附件文件中放入一个HTML文件,再藉由这个HTML被受害者点击后,下载一个加密的恶意文件


2022年第二季度电子邮件安全观察

通过浏览器,解碼出内嵌于HTML内的一个加密恶意文件,文件并非从外部而来


结论


在电子邮件安全在早期还不受重视时,多数的收信软件或是Webmail,几乎都能像浏览器一样完整的执行各种网页程序。随着时间推移,大家慢慢意识到电子邮件这个通道若不进行管控或限制,会是一个很容易被主动攻击的突破口。因此,现在的收信软件或是Webmail都不再能直接执行各种网页程序。攻击者在演化的过程中留意到了电子邮件可夹带各种附件的可能性,开始通过夹带各种恶意文件以利用这些文件开启软件的漏洞。HTML可以调用本地浏览器开启,在过去经常被用来做脱机钓鱼,这次我们看到了脱机下载文件攻击样本,未来在呼叫浏览器的利用方面恐怕将更加深化及普及化。


相关阅读

ASRC 2022年第一季度电子邮件安全观察

ASRC 2021年第三季电子邮件安全观察

不只是邮件钓鱼——企业邮件安全的威胁分析与应对



2022年第二季度电子邮件安全观察

合作电话:18311333376

合作微信:aqniu001

投稿邮箱:[email protected]



“在看”更有爱

2022年第二季度电子邮件安全观察


原文始发于微信公众号(安全牛):2022年第二季度电子邮件安全观察

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月4日13:29:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2022年第二季度电子邮件安全观察http://cn-sec.com/archives/1155932.html

发表评论

匿名网友 填写信息