網路服務使用依賴，導致釣魚風險大增
釣魚郵件在第一季樣貌多元，除了常見宣稱電子郵件有問題、驗證與重啟帳戶、要求變更密碼…等，也發現許多釣魚郵件的巧妙心思，例如：利用疫情期間網路服務使用頻繁的假冒快遞、各種影音串流服務、工作職缺等各種釣魚，目標在釣取電子郵件帳號密碼、各種線上服務登入資訊；或誘騙受害人開啟郵件中的惡意檔案、惡意連結，以便進一步取得受害者電腦的控制權。

合法的服務持續遭到濫用，使得攻擊難以封鎖
封鎖惡意的去向或是來源，是資安防護的重要技巧。但有越來越多攻擊濫用了合法且知名的服務，例如：Google雲端硬碟、線上表單，或是雲端主機的郵件派送服務等。這些遭到濫用的合法服務，大多為知名網路服務提供商，不僅收件者會降低戒心，多數上網防禦機制也會略過檢測，讓這類攻擊更加難以封鎖。

為得青睞，惡意檔案誘騙偽裝樣樣來
第一季觀察到許多使用社交工程手法，試圖誘使目標對象下載並執行惡意檔案的攻擊。其中社交工程所利用的理由相當多元，下方案例以薪資問題為誘騙理由，要求受害者下載關聯檔案查看。實際上，下載下來的是經過打包的 PE 檔案，主要的組成為一個 PE 檔 WeChatAppUpdates.exe、一個dll檔 OutlookUpdate.dll 及一個作為餌的 Word 文件。首先會執行 WeChatAppUpdates.exe，WeChatAppUpdates.exe會先關閉宿主電腦上的Windows Error Reporting Service等服務，再啟動常駐後門。
值得注意的是，這個下載回來的惡意執行檔偽裝為 WORD 圖示，並且以一長串文字做為檔案名稱，如不仔細觀察很難發現這並非 WORD 檔案。且在不慎被執行之後，也會開啟一個 WORD 檔案做為煙霧彈。因此，受害者遭到後門植入後也很難在第一時間察覺異狀。

大量惡意的 Office 文件檔，透過遠端載入惡意範本躲避掃瞄
第一季我們發現大量的惡意 Office 文件被散播。這些郵件以英文或多國語言撰寫，使用冒名的社交工程手法。這些惡意檔案多半是 Office 文件以 ZIP 壓縮的 XML 包裹格式，如：.docx、xlsx…等。將打包惡意文件拆解開，其共通的手法：在惡意文件\文件格式\_rels\webSettings.xml.rels檔案內，載入一個遠端的惡意範本檔案。

這個惡意範本被放置於 ColoCrossing 虛擬主機上，最終會下載一個 vbc.exe 並在宿主端運行，伺機竊取宿主主機的機敏文件。這類型的惡意郵件在 2021 年第一季大量被觀察到，若就這類惡意文件來做檢查，本身並沒有明顯的VBA或惡意程式碼包含在其內，因此有機會躲過某些掃描機制。

務必特別留意遠端下載惡意文件或程序的攻擊。這類攻擊，除了遠端伺服器可掌控下載者的IP、時間、地點、瀏覽器版本外，也可任意更改下載的樣本，讓資安研究單位不易取得樣本；這類社交工程手法融合下載惡意檔案的攻擊有複雜化的趨勢，即便受害者已經十分提防，也不見得能察覺自己下載並執行了惡意檔案。
除了提高警覺、不開啟、不下載來路不明的郵件與檔案之外，萬一在不慎開啟不明檔案後，發現不是自己所預期的資料，一定要特別留意。建議企業單位應定時對內部進行資安檢測或掃描，確保企業內部未被植入可長期竊資的後門，並留意各項不尋常的異狀。

關於 ASRC 垃圾訊息研究中心
ASRC 垃圾訊息研究中心 (Asia Spam-message Research Center)，長期與中華數位科技合作，致力於全球垃圾郵件、惡意郵件、網路攻擊事件等相關研究事宜，並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式，促成產官學界共同致力於淨化網際網路之電子郵件使用環境。更多資訊請參考 www.asrc-global.com 。

- 新聞稿有效日期，至2021/06/18為止

上一篇：Snapask 時課問釋免費進度攻略班資源 助高中生防疫不停學
下一篇：Maxim 發佈Trinamic伺服控制器/驅動器模組