駭客團隊宣佈隱退、警方釋出解密工具，GandCrab 惡夢已醒
2018年1月被發現的GandCrab，被喻為史上最會賺錢的勒索軟體。在全球各地肆虐一年多之後，背後的駭客團隊在2019年6月宣佈賺夠了決定隱退，並且放話將刪除所有的解密金鑰，催促受害者盡快付款了事。所幸在全球警方與 Bitdefender 等資安業者通力合作下，關閉了 GandCrab的運作並且釋出解密工具，全球的 GandCrab 惡夢總算畫下句點，這大概算是郵件安全回顧中唯一的好消息。但是背後的開發團隊猖獗挑釁的態度，讓人難以苟同，難保會有更多的仿效者出現，勒索軟體未來恐怕還是會持續蓬勃發展下去。

詐騙郵件泛濫，總量單季暴增超過 250 %
詐騙郵件可分為商務電子郵件詐騙 (BEC，Business Email Compromise) 與奈及利亞詐騙 (419scam) 兩大種類。在 2019 上半年觀察到的詐騙郵件泛濫，總量在第二季暴增，相較第一季增長的幅度超過 250%。其中以奈及利亞詐騙郵件佔比最高，其攻擊難度低，只需要捏造故事無差別的寄送給曾外洩的、暴露在外的電子郵件位址，待防備較弱的人上鉤，就可開始進行詐騙。
而針對型的商務電子郵件詐騙雖然佔比低，但在發動前需要先入侵目標對象的電子郵件信箱，進行一段時間的監測，才能在正確的時機點發動詐騙。因此曾遭受BEC 攻擊的企業單位多半已存在資安問題。
兩種詐騙郵件的攻擊難度差異甚大，不過一旦上當都將造成一筆不小的金錢損失。

合法空間淪為駭客工具，使用者與防護機制漸失防備
越來越多的合法空間被用來放置惡意檔案或文件，這類攻擊郵件以簡單的郵件內容附上合法域名如Github、dropbox、google drive、Oracle…的超連結，引導收件者點選連結下載或開啟惡意檔案。由於這些域名的擁有者都是跨國大型企業，且為知名網路服務提供商，不僅收件者難以肉眼辨識，多數上網防護機制也會略過檢測。
經常遭到濫用的知名合法域名：
￭ .web.core.windows.net
￭ 1drv.ms
￭ .github.io
￭ .oracle.com
￭ drive.google.com
￭ .appspot.com
￭ .dropbox.com

三個 Office 漏洞被廣泛運用，WinRAR 漏洞多被用於針對性攻擊
2019 上半年漏洞利用前三名分別為：CVE20144114、CVE20180802、CVE201711882，三者皆為 Microsoft Office 漏洞。它們穩定、易觸發、全版本都可用，最受攻擊者的青睞。
此外，值得特別留意的是第一季被揭露的 WinRAR 漏洞 CVE201820250 系列，第二季的攻擊範圍與數量都有明顯增加的趨勢，且幾乎都為針對型 APT 攻擊所利用，主要瞄準製造業，政府機關、旅館，以及教育單位也有被零星攻擊的跡象。

無檔案式的攻擊，讓安全防禦更加艱鉅
我們也在 2019 年上半電子郵件攻擊中觀察到無檔案式 (Fileless) 的攻擊，也稱為「離地攻擊」( living off the land )。這類攻擊發生在漏洞被觸發或以社交工程手法成功促使收件者執行 VBA 之後，利用受害者作業系統中種種合法工具，進行一連串的攻擊，尤其是Windows上的PowerShell，更是攻擊者的最愛。這類攻擊不必下載專用工具，因此無從發現惡意程式，這讓以偵測惡意程式存在發現的防衛手段，面臨艱鉅的考驗。

90% 的網路攻擊皆由電子郵件拉開序幕，因此，將電子郵件的防守做得牢靠，就能防住大多數的網路攻擊。攻擊者似乎也明白這一點，因此，越來越多來自電子郵件的攻擊者利用超連結、短網址、合法空間存放惡意程式等手法，試圖將戰場從電子郵件過濾的閘道口延伸至收件者的終端電腦、瀏覽器等，並且試圖製造出防守方的各種邏輯漏洞或矛盾。比方，假若為了解決惡意超連結所帶來的風險，而針對電子郵件內的每一個超連結進行檢測，這就可能帶來許多未經授權的點擊，造成各種身分認證、稽核、確認訂閱或退訂混亂的情況，這可能是許多開發者或方案採用者不會直接意識到的風險。

關於 ASRC 垃圾訊息研究中心
ASRC 垃圾訊息研究中心 (Asia Spam-message Research Center)，長期與中華數位科技合作，致力於全球垃圾郵件、惡意郵件、網路攻擊事件等相關研究事宜，並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式，促成產官學界共同致力於淨化網際網路之電子郵件使用環境。更多資訊請參考 www.asrc-global.com

- 新聞稿有效日期，至2019/08/30為止

上一篇：單身男女商機上看5千億 樂天市場逆勢搶攻單身經濟
下一篇：中華燃氣控股有限公司宣布正面盈利預告