從RAR到JavaScript：勒索病毒所使用郵件附件檔的變化

為什麼關鍵是要在閘道阻止勒索病毒 Ransomware (勒索軟體/綁架病毒)？因為電子郵件是勒索病毒最常使用的進入點。根據我們的分析，有71%的勒索病毒透過電子郵件散播。使用垃圾郵件並不是什麼新鮮事，勒索病毒作者持續使用這種感染途徑是因為這是已經經過考驗的做法。也是針對潛在受害者（大型企業和中小型企業）的有效途徑，因為他們通常將電子郵件用在通訊和日常運作上。2016年上半年，我們觀察到網路犯罪分子利用像JavaScript、VBScript和Office巨集文件等檔案類型來躲避傳統的安全解決方案。有些可以直接用來編寫惡意軟體。事實上，作為安全預防措施，微軟預設是關閉巨集功能。

在本文中，我們會研究各種電子郵件附件檔及勒索病毒使用這些檔案類型的變化。

 

檢視電子郵件附件檔

趨勢科技在上半年已經封鎖和偵測8,000萬次的勒索病毒威脅；其中有58%來自電子郵件附件檔。縱觀今年，我們看到Locky的攻擊活動及其不斷地變更電子郵件附件檔來更大量地散播。根據我們的監控，某些檔案類型在電子郵件附件檔中變多就是因為Locky。

在今年的前兩個月，我們注意到垃圾郵件使用.DOC檔案出現高峰。DRIDEX，一種以使用巨集聞名的網路銀行威脅，在那時據報會散播Locky勒索病毒。從三月到四月，我們看到使用.RAR附件檔的高峰，這也歸因於Locky的攻擊活動。

 

圖1、企業遭受勒索病毒攻擊的風險，因為他們是會使用巨集功能之生產力應用程式的重度使用者。

 

從六月到八月，Locky運作者轉而使用JavaScript附件檔。不過這類型的附件檔也會下載其他勒索病毒，像是CryptoWall 3.0和TeslaCrypt 4.0。我們還注意到Locky使用VBScript附件檔，可能是因為容易進行混淆來躲避偵測。七月中至八月，我們開始看到Locky垃圾郵件活動使用Windows腳本檔案（WSF），這可以解釋WSF為何成為最常用在病毒威脅的附件檔類型第二名。

使用WSF可以結合兩種不同的腳本語言。這策略讓它變得很難偵測，因為這通常不是端點解決方案會監控和標記為惡意的檔案類型。Cerber也在2016年五月被發現會使用這種策略。

 

圖2、JS垃圾郵件附件檔從六月到八月上升歸因於Locky。

 

最新的Locky變種會使用DLL和.HTA檔案類型來散播。我們推測惡意軟體作者濫用.HTA副檔名是因為它可以繞過過濾程式，因為它並非常見用於網路犯罪的檔案類型。

 

圖3-4、電子郵件使用.HTA附件檔

 

由於不斷變化使用各種附件檔，我們懷疑Locky作者將可能會使用其他可執行檔如.COM、.BIN和.CPL來散播病毒威脅。

要封鎖帶有JS、VBScript、WSF和HTA附件檔的垃圾郵件，企業應該使用具備不同反垃圾郵件過濾能力（如啟發式和特徵比對技術）的電子郵件解決方案。此外，具備黑名單機制的解決方案可以封鎖已知的惡意發送IP地址。

要偵測Locky和Cerber的巨集下載程式，電子郵件解決方案應該具備巨集掃描功能，能夠偵測病毒威脅的惡意巨集元件。

 

常見的電子郵件主旨

像Locky和Cerber這些常見的勒索病毒也是使用一般的社交工程主旨。大型企業和中小型企業都應該要留意郵件主旨，像是發票、包裹快遞、訂單確認、銀行通知和付款收據等。了解這些郵件主旨可以實質性地幫助員工來察覺勒索病毒所用的電子郵件。

這裡是一些其他常用主旨：

• 要求的文件
• 審計報告
• 預算報告
• 通過電子郵件發送：（標籤|照片|圖片）
• 來自{隨意字元}的訊息
• 我們無法派送你的包裹#{隨意字元}。無法派送貨物#{隨意字元}。無法派送你的貨物#{隨意字元}
• 付款收據
• 訂單確認{隨意字元}
• 帳單

圖5、垃圾郵件樣本

 

解決方法

勒索病毒攻擊的關鍵部分是散播機制。一旦帶有勒索病毒的電子郵件進入網路並且在系統上執行，就能夠加密重要檔案。必須部署閘道解決方案來防止勒索病毒進入網路。

因為這些病毒威脅的本質，企業需要多層次解決方案來全方位的涵蓋接觸面、端點、網路和伺服器。同時強烈建議企業做好備份，以免被迫支付贖金。在今年初，我們進行一次安全性準備調查，訪談來自中小型到大型企業的決策者、購買者和最終使用者是否有進行備份。調查顯示有33%的受訪者不是沒有嚴格執行備份策略就是不知道是否有備份。

以下是趨勢科技從閘道和端點到網路和伺服器所提供勒索病毒解決方案的簡介。
趨勢科技的勒索病毒解決方案

從中小企業到大型企業的網路設備都是Crysis這類勒索病毒的攻擊目標，業務持續性、財務損失和公司聲譽都受到了威脅。當網路犯罪分子汲汲營營地想要將關鍵資料做為人質，重要的是能夠具備主動式、多層次的安全防護：從閘道、端點、網路到伺服器。

 

 

電子郵件和閘道防護 趨勢科技Cloud App Security、趨勢科技Deep Discovery™ Email Inspector和InterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道，如電子郵件和網頁。 魚叉式網路釣魚防護 惡意軟體沙箱 IP/網頁信譽評比技術 檔案漏洞攻擊偵測	端點防護 趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。 勒索病毒行為監控 應用程式控管 漏洞防護 網頁安全
網路保護 趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。 網路流量掃描 惡意軟體沙箱 防止橫向移動	伺服器防護 趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。 保護網頁伺服器 漏洞防護 防止橫向移動

 

保護中小企業和家庭用戶

保護中小型企業 Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護，偵測和封鎖勒索病毒。 勒索病毒行為監控 IP/網頁信譽評比技術

保護家庭用戶 趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。 IP/網頁信譽評比技術 勒索病毒防護

 

＠原文出處：From RAR to JavaScript: Ransomware Figures in the Fluctuations of Email Attachments作者： Lala Manly、Maydalene Salvador和Ardin Maglalang

 

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

 

 

 

《 想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼