ASRC 2022 年電子郵件趨勢(shì)安全回顧

次閱讀 ? 作者：anzai_admin? 來(lái)源：未知 ? 2023-02-06

摘要：回顧2022年，攻擊郵件數(shù)量最多的時(shí)間點(diǎn)集中在第二季。

2022 年對(duì)許多人來(lái)說(shuō)是艱難的一年，世界仍受疫情影響，全球通膨也讓經(jīng)濟(jì)局勢(shì)萎靡，加上地緣政治風(fēng)險(xiǎn)不斷升高、戰(zhàn)爭(zhēng)爆發(fā)，更讓信息安全的重要性被瞬間拉高。我們可通過(guò)回顧 2022 電子郵件的攻擊形態(tài)，思考 2023 即將可能面對(duì)的攻擊趨勢(shì)與未知風(fēng)險(xiǎn)，并及早防范！

概要
根據(jù)守內(nèi)安與ASRC研究中心的觀測(cè)數(shù)據(jù)，相較 2021 年，2022 年的病毒郵件數(shù)量大約成長(zhǎng)了 31%；419 scam 詐騙郵件成長(zhǎng)了 76.37%；而惡意郵件中攜帶了 zip 及 rar 壓縮文件的狀況都增長(zhǎng)了50% 以上，其中很大一部分被密碼加密保護(hù)，加密的惡意壓縮文件很可能就此成為未來(lái)常見(jiàn)的趨勢(shì)；而攜帶惡意文件增長(zhǎng)最多的為惡意pdf文件，其次則分別為Office的Word格式文件與Excel文件。Office文件漏洞利用以CVE-2021-40444增幅最多，更早的漏洞的利用情況也依然有所增長(zhǎng)；CVE-2022-41049也是在2022年11月揭露后就開(kāi)始出現(xiàn)頻繁被利用的跡象。文件型漏洞利用大致可看出：新的漏洞被揭露后會(huì)在短時(shí)間內(nèi)遭到頻繁嘗試?yán)?；但舊的文件漏洞利用攻擊仍存在，顯然，攻擊者并不認(rèn)為舊有漏洞會(huì)被全面修補(bǔ)。全年來(lái)看，攻擊郵件數(shù)量最多的時(shí)間點(diǎn)則是集中在第二季。

惡意加密壓縮附件
在 2022 年第一季度中大量流行的 Emotet 惡意郵件攻擊，其所攜帶的惡意 Office 文件多為 xls、xlsx、xlsm、doc、docx、docm... 等等。但值得注意的是，這些文件除了直接對(duì)外發(fā)送外，也會(huì)以zip加上密碼的方式發(fā)送，目的就是為了躲避網(wǎng)絡(luò)安全設(shè)備的偵查與攔截。此類攻擊郵件最明顯的特征是：解密的密碼與加密文件的壓縮同時(shí)存在同一封郵件中，此方式在日本已存在多年，與附件壓縮加密的網(wǎng)絡(luò)安全防護(hù)方式簡(jiǎn)稱為 PPAP 最大的區(qū)別點(diǎn)是：PPAP 是由 4 個(gè)詞所組成，Password、Password、An、Protocol。一般是指將電子郵件攜帶的附件，透過(guò)ZIP 加密壓縮。再將密碼，通過(guò)另一封郵件發(fā)給對(duì)方解密。

(以zip加上密碼的方式，躲避網(wǎng)絡(luò)安全設(shè)備的偵查與攔截)

PPAP 的使用有許多疑慮與弊病存在：加密文件與密碼經(jīng)常使用相同的通訊渠道分次傳輸、長(zhǎng)久使用固定密碼以及加密文件直接遭到攔截并被暴力破解的問(wèn)題等，都說(shuō)明了 PPAP 的使用并不安全。再加上 2022 年的加密惡意壓縮附件數(shù)量大幅增長(zhǎng)，已有多個(gè)大型企業(yè)集團(tuán)直接廢除 PPAP 的傳輸方式，并宣布接收外部郵件時(shí)，將會(huì)直接過(guò)濾掉帶有密碼的壓縮文件。因此，未來(lái)帶有加密附件的電子郵件在網(wǎng)絡(luò)安全防護(hù)的角度下，很可能會(huì)由原有的保護(hù)敏感文件的角度，全面轉(zhuǎn)變?yōu)樾枰艿街攸c(diǎn)檢查，或被隔離的郵件。

以「安全」為名的攻擊郵件
在 2022 年我們也經(jīng)?？匆?jiàn)教人防范釣魚(yú)郵件的教學(xué)，內(nèi)容卻是帶有連往釣魚(yú)網(wǎng)站的釣魚(yú)郵件鏈接。

(Phishing_Tur.jpg，貨真價(jià)實(shí)的釣魚(yú)郵件，內(nèi)容卻為防范釣魚(yú)郵件的教學(xué)。)

假借安全通報(bào)，實(shí)則帶有 CobaltStrike Beacon 后門程序的攻擊郵件。雖然發(fā)送郵件的源頭并非真的由技術(shù)安全中心而來(lái)，但在內(nèi)容上，不論是格式或是用語(yǔ)都煞有其事，并附上了一個(gè)惡意附件，在郵件內(nèi)容中還標(biāo)注了解壓縮的密碼，并誘騙收件人要想知道完整的內(nèi)容信息，需要解壓附件后獲取。

(攻擊郵件冒充了某安全情報(bào)服務(wù)中心發(fā)布的漏洞信息)

許多的攻擊手法、通知常常通過(guò)郵件的渠道作發(fā)布，且配合近幾年越來(lái)越多企業(yè)對(duì)于郵件安全性重視不斷提高，通知員工提高相關(guān)防范。因此收件人可能會(huì)對(duì)「教學(xué)說(shuō)明」、「安全通知」類的郵件放下戒心，誤以為是公司組織的安全教育。這類型的社交工程手段在未來(lái)很可能會(huì)頻繁出現(xiàn)。

釣魚(yú)郵件大爆發(fā)的一年
澳大利亞競(jìng)爭(zhēng)與消費(fèi)者委員會(huì) (ACCC) 顯示，2022 年 3 月，澳大利亞人因各種類型的詐騙共損失了 9500 萬(wàn)澳元。網(wǎng)絡(luò)釣魚(yú)攻擊正變得越來(lái)越普遍，并且在未來(lái)幾年沒(méi)有任何趨緩的跡象。而根據(jù) IBM 的 2021 年數(shù)據(jù)泄露成本報(bào)告，網(wǎng)絡(luò)釣魚(yú)是第二昂貴的攻擊媒介，平均給組織造成 465 萬(wàn)美元的損失。網(wǎng)絡(luò)釣魚(yú)幾乎是所有網(wǎng)絡(luò)攻擊最經(jīng)典的攻擊前奏，面對(duì)它所帶來(lái)的損失，相信絕不是一個(gè)不采取任何行動(dòng)就能被接受的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)釣魚(yú)攻擊事件的數(shù)量逐年增加，根據(jù) ASRC 的統(tǒng)計(jì)，相較于 2021 年，2022 年的釣魚(yú)郵件數(shù)量成長(zhǎng)幅度高達(dá) 2 倍。在此所謂的網(wǎng)絡(luò)釣魚(yú)郵件意指：電子郵件中僅攜帶一個(gè)惡意超鏈接，且不存在除了圖片以外的附件文件，將受害者帶往特制的釣魚(yú)網(wǎng)站，目的是騙取受害者的機(jī)敏數(shù)據(jù)，以作為后續(xù)其他攻擊的利用。

釣魚(yú)郵件進(jìn)化的方向主要是朝著釣魚(yú)網(wǎng)址不要被偵測(cè)、不要被瀏覽器屏蔽的方向發(fā)展。在 2022 年我們可看到釣魚(yú)網(wǎng)站利用了Google翻譯、微軟的在線問(wèn)卷機(jī)制，遮蔽了真實(shí)的網(wǎng)址，使得郵件內(nèi)惡意網(wǎng)址的偵測(cè)變得困難、同時(shí)受害者也不容易受到瀏覽器的網(wǎng)址安全功能保護(hù)。

(Google翻譯本身支持了翻譯整個(gè)網(wǎng)站的功能，也可被盜用于屏蔽釣魚(yú)網(wǎng)站；識(shí)別的秘訣是：網(wǎng)頁(yè)中存在 Google 的翻譯列)

(釣魚(yú)攻擊盜用了微軟的在線問(wèn)卷調(diào)查機(jī)制)

除了利用合法服務(wù)進(jìn)行網(wǎng)址屏蔽外，部分的釣魚(yú)郵件也利用QRcode來(lái)隱藏惡意網(wǎng)址，相較于其他區(qū)域，這樣的攻擊在中國(guó)更常見(jiàn)，但此類攻擊占整體的釣魚(yú)郵件數(shù)量其實(shí)不多，而且此類釣魚(yú)郵件特別針對(duì)手機(jī)進(jìn)行攻擊。

(釣魚(yú)郵件利用 QRcode 隱藏惡意網(wǎng)址)

(二維碼解碼后的惡意網(wǎng)站只接受手機(jī)瀏覽器才會(huì)顯示真正的釣魚(yú)頁(yè)面)

(釣魚(yú)的目標(biāo)主要針對(duì)銀行卡的卡號(hào))

整個(gè)釣魚(yú)攻擊的過(guò)程，除了電子郵件外，釣魚(yú)網(wǎng)站才是真正獲取敏感信息的重要陷阱。釣魚(yú)網(wǎng)站在過(guò)去幾年的統(tǒng)計(jì)里，絕大多數(shù)存活天數(shù)都在一天以內(nèi)，原因是這些釣魚(yú)網(wǎng)站、頁(yè)面所寄宿的 VPS、免費(fèi)網(wǎng)站窗體生成器、ISP 都會(huì)主動(dòng)進(jìn)行偵查或接受舉報(bào)，而將這些釣魚(yú)網(wǎng)站下架。因此，釣魚(yú)網(wǎng)站也需要往更不易被下架的方向作演化！2022 年我們看見(jiàn)了釣魚(yú)網(wǎng)站利用了星際文件系統(tǒng)（InterPlanetary File System，縮寫為IPFS）這個(gè)技術(shù)做為網(wǎng)站寄宿空間。星際文件系統(tǒng)是一個(gè)旨在實(shí)現(xiàn)文件的分布式儲(chǔ)存、共享和持久化的網(wǎng)絡(luò)傳輸協(xié)議。它是一種內(nèi)容可尋址的對(duì)等超媒體分發(fā)協(xié)議。在 IPFS 網(wǎng)絡(luò)中的節(jié)點(diǎn)構(gòu)成一個(gè)分布式文件系統(tǒng)。傳統(tǒng)的惡意文件寄存于單一網(wǎng)站，一旦服務(wù)器癱瘓或聯(lián)機(jī)中斷，這個(gè)惡意文件或是釣魚(yú)頁(yè)面就會(huì)癱瘓。但在IPFS上，文件可利用多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)上傳送，因此可確保內(nèi)容長(zhǎng)久存在，釣魚(yú)網(wǎng)站也更難以被簡(jiǎn)單封鎖或被網(wǎng)站管理員“下架”！

(惡意頁(yè)面或文件開(kāi)始利用IPFS協(xié)議躲避封鎖)

總結(jié)
面對(duì)2023，企業(yè)應(yīng)仔細(xì)考慮加密文件的流動(dòng)是否存在繞過(guò)安全審核的風(fēng)險(xiǎn)。此外，千萬(wàn)別將所有的風(fēng)險(xiǎn)防范都寄望于人體防火墻，社交工程逐步精致復(fù)雜化，已經(jīng)不是一般未經(jīng)教育訓(xùn)練的人員可抵御的風(fēng)險(xiǎn)。再者，釣魚(yú)的手段越來(lái)越多樣化，難保敏感數(shù)據(jù)憑證不會(huì)因?yàn)橐粫r(shí)的疏失而泄露，采取零信任的環(huán)境部署，針對(duì)每一個(gè)服務(wù)登入都要求驗(yàn)證、記錄，并適當(dāng)將操作權(quán)限開(kāi)放在合理的最小化狀態(tài)，將可有效減輕憑證遭到釣魚(yú)攻擊的風(fēng)險(xiǎn)！

詳情請(qǐng)關(guān)注安在新媒體，一家信息安全領(lǐng)域媒體，以“做有內(nèi)涵的泛黑客媒體”為方向，線上通過(guò)自媒體，采訪網(wǎng)絡(luò)安全領(lǐng)域人物梳理行業(yè)脈絡(luò)，通過(guò)介紹他們的經(jīng)歷、感悟、對(duì)行業(yè)的看法等來(lái)剖析網(wǎng)絡(luò)安全發(fā)展的脈絡(luò)；致力于建立完整的信息發(fā)布矩陣，覆蓋微信、微博、知乎等主流自媒體渠道。

官網(wǎng)：http://anzerclub.com/

市場(chǎng)部聯(lián)系（廠商）：徐倩（微信：Madeline_Sue）

市場(chǎng)部聯(lián)系（甲方）：Tina（微信：xuqingqing823125689 ）及 Enco（微信：Anzer10）

人妻网站成熟人妻VA网站,国产一级无码 片内射,国产情侣在视频先锋影音,免费看污国产片视频软件

ASRC 2022 年電子郵件趨勢(shì)安全回顧

人妻网站成熟人妻VA网站,国产一级无码片内射,国产情侣在视频先锋影音,免费看污国产片视频软件