日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

根據ASRC研究中心 (Asia Spam-message Research Center) 與守內安的觀察，2021年第二季度整體垃圾郵件量相較上一季增加50%，帶有Office惡意文件的攻擊郵件則較上一季增加3.5倍，脫機釣魚的數量成長了2.4倍;針對Microsoft Office漏洞利用則以CVE201711882及CVE20180802為主。以下針對第二季重要的攻擊手法與樣本進行分析：

詐騙及釣魚郵件仍十分盛行

第二季全球疫情因為病毒變種的關系，許多地區(qū)仍實施遠程工作或在家上班。釣魚郵件看似威脅性不大，可一旦賬號密碼被釣，攻擊者即可能透過開放的遠程工作對外服務，及單一賬號認證服務(SSO，Single sign-on)合法使用企業(yè)開放的服務，而形成入侵企業(yè)的突破口。

釣魚及詐騙郵件在第二季非常盛行

連外下載的惡意Office文件

第二季，我們發(fā)現許多惡意的Office文件樣本。這些Office文件樣本的攻擊方式不利用漏洞，也未包含可疑的宏或VBA等操作，而是單純的利用XML連接外部開啟另一個惡意文件。這種樣本在今年初就開始流竄，到了第二季，有明顯增多的趨勢。

以訂單作為社交工程的手段，誘騙受害者開啟惡意文件

這種連外開文件的惡意Office文件樣本，多半以docx的方式夾在電子郵件的附件中，少數用xls及ppam的方式做夾帶。連外下載超鏈接會透過短網址，如：xy2.eu、bit.ly、linkzip.me、bit.do、u.nu、is.gd或其他經過編碼的網址藏身;下載的惡意文件則多為 .wbk(Microsoft Word備份)、.wiz(Microsoft Wizard File)、.dot(Microsoft Word范本)、.doc，雖然有些類型的文檔不常見，但只要計算機安裝Microsoft Office相關的軟件，就能開啟這些惡意文件并執(zhí)行。惡意文件被執(zhí)行后，會向中繼主機抓取vbc.exe或reg.exe并執(zhí)行，接著成為常駐的后門程序。

雙擴展名的惡意文檔

第二季出現不少雙重擴展名的攻擊性電子郵件。由于部分自動程序或操作習慣的緣故，會出現一個檔案看似有兩個擴展名，而計算機對于這種檔案的判讀是以最后一個擴展名為主。

以下整理出需要特別留意的雙重擴展名：

其中比較特別的是.pdf.ppam的攻擊，這種攻擊利用鏈接至一個短網址，再轉向Google的blogspot服務，透過解碼blogspot服務暗藏的信息，再連往俗稱「網站時光機」archive.org的服務下載攻擊程序。這種種的行為，都是為了躲開一層層的信息安全防護關卡。

.pdf.ppam的攻擊附件被執(zhí)行后，會透過暗藏的vba向外下載惡意文件

暗藏的vba連往bitly.com的短網址位置

短網址指向空白內容的Google blogspot頁面

玄機藏在網頁的原始碼中，惡意程式的編碼文件，被放在俗稱「網站時光機」archive.org的合法服務內

編碼文件進行譯碼，可看到完整的攻擊程序

結語

綜合上述樣本的攻擊來看，使用不易偵測的手法來躲避觸發(fā)安全警報是攻擊者的趨勢，但我們從這些樣本也發(fā)現，由于過度的迂回，及使用模糊的合法服務，這些都會與企業(yè)一般的溝通互動行為相違背。因此，防護的安全策略，就可以從這些差異中被制定出來!

除了上述介紹的攻擊樣本外，我們也看見了加入更多混淆的CVE201711882攻擊行為，因此安全設備的特征更新不可或缺;而在某些攻擊郵件的標頭，有時也能發(fā)現被隱藏的重要信息，比方References的標頭有時會透露出同樣遭受此波攻擊的受害者或企業(yè)，在調查事件時便可對攻擊者的目的進行推演。

通過專業(yè)的網站建設開發(fā)服務,幫助企業(yè)打造獨特的品牌形象,提高市場競爭力。成都網站開發(fā),十年建站經驗,讓您的網站更省心省時,更省力我們更專業(yè),創(chuàng)新互聯為您提供更省時更放心的建站方案。

文章標題：ASRC2021年第二季電子郵件安全觀察
分享地址：http://www.dlmjj.cn/article/dhpphdi.html