在 10 月到 11 月期間,OSecure 郵件資安團隊觀察到一波新的加密病毒信攻擊,信件偽造成政府機關的審查通知及資安警訊,被偽造的機關包含國家通訊傳播委員會(NCC)及國家資通安全會報技術服務中心(NCCST)等,這類信件是典型的社交工程攻擊,網路罪犯利用熱門時事或重大新聞事件做為誘餌,再透過精心設計的信件內容,一步步誘導收件人,解開帶有惡意程式的加密壓縮檔,以下分別說明攻擊手法:
範例 1:偽造的抽樣審查通知
如圖 1 所示,攻擊者利用 outlook.com 的免費信箱寄送加密病毒信,可觀察攻擊者特別註冊偽造的電子郵件 sec-service.gov.tw@outlook.com,假冒「國家通訊傳播委員會」寄送抽樣審查通知,但官方網域名稱實際上為 ncc.gov.tw,郵件附檔為 ZIP 加密檔,並在信件內文附上解壓縮密碼。此外,為了降低收件人的戒心,還特別註明壓縮檔內的工具可能會被防毒軟體誤判,引導收件人暫時停用防毒軟體。
【圖 1. 偽冒的國家通訊傳播委員會抽樣審查通知】
如圖 2 所示,將 ZIP 壓縮檔下載解密後,會看到 2個 Office 文件及 1 個 exe 執行檔。開啟 docx 檔後,檢視其內容為審查工具的操作步驟教學,而 exe 執行檔則是偽裝成審查工具的惡意程式,若使用者不慎點擊,就會在作業系統植入木馬病毒,在執行完成後,審查工具就會被自動刪除,以阻斷資安人員事後追溯調查。
【圖 2. 解壓縮後的檔案,內含惡意程式操作步驟教學】
範例 2:偽造的技服中心資安警訊通知
如圖 3 所示,是一封署名為「行政院資通安全會報技術服務中心」的資安警訊,觀察其寄件人地址為 nccst_tw_publish_noreply@fastmail.tw,但技服中心官方的網域名稱為 nccst.nat.gov.tw,郵件附檔為 RAR 格式的加密壓縮檔,信件內文聲稱是技術服務中心的資安警訊通知,說明駭客利用疫苗時事寄送惡意電子郵件攻擊,並附上惡意信件的特徵,最後也在內文加註密碼,誘使收件者開啟壓縮檔。由於該郵件的寄件網域並非來自 nccst.nat.gov.tw,且信件內文與官方發佈情資的格式明顯不同,收件者應提高警覺並進一步查證來源,勿輕易開啟檔案或信件中的連結。
【圖 3. 偽冒的資通安全會報技術服務中心通知】
如圖 4 所示,將 RAR 壓縮檔解密後,會看到社交工程攻擊通告的 PDF 檔捷徑,另外還有隱藏的 _rels 資料夾,資料夾內的檔案列表有 .rels、_rels.bat 及社交工程攻擊通告 PDF 檔等 3 個檔案,.rels 是偽裝成 XML 檔的惡意程式,_rels.bat 是 BAT 惡意腳本,而 PDF 檔的用途則是拿來混淆使用者的視聽。點擊右鍵檢視該捷徑的內容,可發現捷徑目標為「System32\cmd.exe」,此為 Windows 命令提示字元應用程式的路徑,若使用者點擊捷徑後,就會啟用命令提示字元並執行 _rels 資料夾底下的 _rels.bat 檔,該 BAT 腳本會把 .rels 檔案複製到 Windows 作業系統的暫存資料夾,並將 .rels 重新命名為 usysdiag.exe 執行檔,最後啟動該檔案為系統常駐程式,監聽系統機敏資訊。
【圖 4. RAR 壓縮檔中的檔案列表】
對抗加密病毒信攻擊,MailGates 6.0 提供全方位解決方案:
1. 機器學習分析模型
在 MailGates 6.0 中,研發團隊整合機器學習模型,可自動解析信件內文中密碼字串,支援中文、英文及日文等語系,可自動解開加密壓縮檔,並進一步掃描。
適用情境:信件附檔為加密壓縮檔,內文帶有密碼字串
2. 關聯信件分析
有些加密病毒信會模擬市面常見的郵件附檔加密機制,將郵件拆分成兩封信寄送,MailGates 團隊研發了關聯信件分析的功能,系統一旦偵測到未帶有密碼的加密信件,就會分析歷史往來信件中的密碼字串,再利用機器學習模型自動解密。
適用情境:加密檔與密碼分別在不同信件
3. 自訂密碼列表
金融業者為符合金管會規定,會將含有機敏個資的資料以加密附檔方式,且採用約定密碼加密,例如:統一編號、電話號碼或由使用者自訂。由於這類型的加密信不會另外寄送密碼通知信,MailGates 提供使用者可依網域自訂密碼列表,以便在收到號稱是這些金融機構的來信時,會將附檔自動解壓後提交給 APT 防毒引擎掃描、確保信件安全。
適用情境:無密碼資訊的加密檔
企業應升級郵件閘道防護機制,抵禦加密信件攻擊
由這波結合社交工程攻擊的加密病毒信,可得知駭客的攻擊手法多變,轉換速度也越來越快,企業組織已無法依靠傳統的過濾機制阻擋這類型的攻擊,建議企業用戶導入含有加密病毒防護機制的郵件安全閘道,強化郵件系統安全。
相關解決方案
Openfind MailGates 郵件防護系統 - 全方位郵件防護:校能、控管、備援