對網路犯罪來說,電子郵件是門大生意。
在2014年,每天有1963億封電子郵件在收發。在這之中,有1087億封是商業郵件。每天電子郵件大發送的數量,吸引網路犯罪分子會利用電子郵件攻擊大型企業。而這些攻擊可能導致數百萬美元的損失跟資料竊盜。根據報導,Home Depot外洩事件造成該公司6200萬美元的損失,而Target資料外洩事件造成2億2900萬的損失。
但這並不代表企業是唯一容易遭受電子郵件攻擊的對象。根據趨勢科技在上半年度的觀察,電子郵件威脅在找尋受害對象時是一視同仁的。
今年上半年在垃圾郵件(SPAM)威脅環境有兩個趨勢。首先是巨集病毒相關垃圾郵件(SPAM)持續上升。第二是大量出現透過垃圾郵件寄送的勒索軟體 Ransomware攻擊。
舊玩意新花樣
在今年的前幾個月,趨勢科技注意到巨集垃圾郵件的威脅顯著地增加。這些垃圾郵件(SPAM)夾帶著.DOC、.DOCM、.XLS和.XLSM等Microsoft Office副檔名的附加檔案。在下圖一中整理出我們每月所見的惡意軟體相關垃圾郵件。雖然UPATRE(紅色)仍然是首要的垃圾郵件類型,我們可以看到巨集垃圾郵件(綠色)在許多月份都有所增加。
我們也看到一些包含PDF附件的電子郵件。這些附件實際上嵌入了.DOC文件。該.DOC文件包含執行後會下載惡意.EXE檔案的巨集。
但並非所有巨集威脅相關垃圾郵件(SPAM)都帶有附件。有些郵件包含連結會連到如Dropbox等正常的檔案代管網站,所放的卻是惡意檔案。
惡意巨集經過了多年的沉寂,直到最近才又重新進入威脅環境。收件者可能沒有意識到巨集的危險,因而讓垃圾郵件發送者可以得逞。
再次檢視勒索軟體郵件
垃圾郵件仍然是傳送勒索軟體給無辜收件者的常見手段。有兩個勒索軟體家族在上半年特別突出:Cryptowall 3.0和TorrentLocker。
在今年第一季中,我們看到有惡意垃圾郵件結合了檔案加密與資料竊取攻擊。許多垃圾郵件夾帶了應該內含履歷的ZIP檔案。這個檔案包含一個.JS或.HTML檔案,會下載Cryptowall和FAREIT惡意軟體到電腦上。FAREIT會竊取FTP客戶端、網頁瀏覽器、電子郵件客戶端甚至是比特幣錢包儲存在系統內的身分憑證。
同時,我們看到TorrentLocker作為區域性攻擊將目標放在澳洲、紐西蘭和部分歐洲地區。攻擊中使用了一些常見的社交工程誘餌,包括發票(像是Bolletta和Fatura)和郵件追蹤通知。相關文章:巨集惡意程式:老技倆依舊有效
2015年上半年垃圾郵件量
我們可能看到了特定類型攻擊的增加,但總體而言,垃圾郵件數量隨著時間過去有明顯的下降。分析2015年上半年的垃圾郵件總數可以看出三月在這六個月中佔最大的比例。
有幾個原因可以解釋在2015年第一季出現較大的垃圾郵件數量,趨勢科技看到關於約會、成人和就業題材的垃圾郵件重複地擴散,這在進入第二季後降低了。有可能是垃圾郵件發送者轉移到其他類型的垃圾郵件攻擊。
有兩個趨勢一直持續到今年的第二季。我們看到惡意軟體相關垃圾郵件的擴散;這些垃圾郵件夾帶了包含下載惡意軟體UPATRE或巨集惡意軟體BARTALEX的壓縮檔。我們也發現垃圾郵件內含新建網域的連結,該網域往往是在攻擊前幾天才建立。這些垃圾郵件常常會利用語詞雜亂(word-salad)和隱形墨水來繞過過濾器。
Upatre(仍然)居於前頭
UPATRE繼續衛冕經由垃圾郵件所散播惡意軟體的寶座。我們在去年注意UPATRE相關垃圾郵件活動因為GAMEOVER被關閉而減少。但很快地就透過CUTWAIL殭屍網路捲土重來。一年過後,UPATRE仍然位居上面,透過了CUTWAIL殭屍網路來散播。CUTWAIL早在2007年就已經出現,曾在2009年被認為是最大的垃圾郵件殭屍網路之一。
不過雖然這樣看來可能會認為UPATRE是個「舊」威脅,但它還是有些新把戲。我們發現有新版本的UPATRE可以停用安全功能以更容易躲避偵測。我們也看到有新變種透過微軟編譯HTM檔案(.CHM)植入系統。使用此副檔名是為了避免使用者起疑:.CHM是微軟的說明文件副檔名。
PLUGX和EMDIVI是魚叉式釣魚攻擊所用的首要惡意軟體
電子郵件仍然是「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)/針對性目標攻擊常見的進入載體,有74%的APT攻擊利用電子郵件來滲透進組織。
在前半年,魚叉式網路釣魚郵件使用了各種社交工程(social engineering )誘餌,像是即將到來的研討會、職缺消息和人事問題。然而,更令人注意的是其最常用的兩個惡意軟體是PLUGX和EMDIVI。PLUGX是用在對政府單位和關鍵產業APT攻擊的遠端存取工具(RAT)。EMDIVI最早出現於2014年,以用在對日本企業的APT攻擊而知名。
什麼是垃圾郵件的下一步?
雖然很難預測垃圾郵件發送者在今年下半年具體會做什麼,但我們可以根據過去和目前的觀察做出一些預測:
- 巨集惡意軟體將會繼續增加,可能會使用像新副檔名或新惡意軟體等新技倆。
- Cryptowall垃圾郵件也可能會產生些許變化:我們預期攻擊者將不再只是使用「履歷」範本。新的Cryptowall垃圾郵件可能會包含其他範本。
- 垃圾郵件發送者會使用一般範本來進行攻擊以繞過防垃圾郵件過濾器。這些範本包括社群網路通知、銀行通知以及像DHL和聯邦快遞的貨物追蹤通知。
- 但有些事情還是會保持不變。垃圾郵件發送者將繼續利用假期和其他具有新聞價值的事件來讓無戒心的使用者成為受害者。
- UPATRE將仍是最常被散播的惡意軟體,因為它的檔案小讓它可以很容易地加進電子郵件或從網路下載。UPATRE也可以被修改來繞過安全過濾程式,這我們在2015年上半年已經見過了。
無論垃圾郵件的下一步會怎麼走,企業應該要部署可以偵測並封鎖電子郵件威脅的安全解決方案。Deep DiscoveryEmail Inspector可以偵測和封鎖設計來竊出資料的針對性電子郵件。Deep Discovery Email Inspector採用先進的惡意軟體偵測引擎、網址分析以及檔案和網頁沙箱技術以識別並立即地封鎖或隔離這些惡意電子郵件。
企業還可以選擇趨勢科技的企業安全套件,它可以在多個層別提供最好的防護:應用最廣泛可用的防惡意軟體技術到端點、應用程式和網路上。
中小企業可以利用Worry-Free Business Security來保護業務活動,對抗電子郵件威脅。透過主動式雲端截毒技術的力量,Worry-Free Business Security可以在威脅到達之前主動的加以封鎖,限制其對你系統的影響。
@原文出處:Macro Threats and Ransomware Make Their Mark: A Midyear Look at the Email Landscape作者:Maydalene Salvador(防垃圾郵件研究工程師)
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載