ASRC 2022 年第二季电子邮件安全报

根据 ASRC 研究中心与守内安联合报告，本季来自电子邮件的攻击，仍以钓鱼邮件为主；其次是带有加密病毒附件的邮件，其数量较上个季度约增长4倍。通过大量联机攻击的次数约为上季度的两倍。同时本季度也有新的攻击手法及漏洞被发现，需对后续漏洞利用情况提高警惕。

通过PDF 掩护夹带恶意Office 文件

本季我们发现有夹带恶意 Office PDF的格式文件。这种恶意文件本体，是一个利用了 Excel 默认密码加密过的恶意 xls 文件，所利用的漏洞为 CVE-2017-11882，内嵌于 PDF 的附件内，利用 PDF 编码作为掩护，使得防毒或网络安全检测软件极难发现。当受害者不慎通过 Adobe Acrobat Reader 等 PDF 阅读工具开启了这个恶意的 PDF 文件时，会自动询问是否要开启其中的恶意附件，若受害者不慎同意开启，则恶意文件会立即在受害者的计算机上安装后门程序。要防范此类攻击，除了采用较好的网安查毒检测机制外，在打开文件时的任何软件警示最好都不要轻易忽视！

夹带恶意软件的PDF 文件

Adobe Acrobat Reader 等 PDF 阅读工具开启了这个恶意的 PDF 文件时，会自动询问是否要开启其中的恶意附件，若不同意则不会触发后续的恶意程序；若通过 Chrome等功能较单一的 PDF 阅读工具，打开时则不会显示该 PDF 内嵌有附件

恶意代码内嵌于附件的 PDF 中，利用 PDF 编码作为掩护，使得防毒或网安检测软件极难辨识

Follina 攻击，通过电子邮件触发

微软于 5 月 30 日公布位于 MSDT (MS Support Diagnostic Tool) 的 Windows 漏洞 CVE-2022-30190，这个漏洞被命名为 Follina，因为一开始发现的攻击文件名有着 0438 这个数字 (05-2022-0438.rar)，0438 是意大利 Follina 的区号，因而得名。这个漏洞是 Windows 本身的漏洞，但触发方式可通过电子邮件来进行：在电子邮件中以附件文件夹带一个恶意的 Office 文件或是 RTF格式文件，并利用 Office 程序向外抓取一个恶意的 HTML ，再借此恶意 HTML 使用「ms-msdt」MSProtocol URI scheme 以加载一段程序代码，触发 PowerShell 执行。

透过 WORD 的 XML 向外请求恶意的 HTML ole 对象

恶意的 HTML 通过 Office 程序的权限执行后，使用「ms-msdt」MSProtocol URI scheme 以加载一段程序代码，触发 PowerShell 执行

微软MSDT 延伸漏洞- DogWalk

与 Follina 同样是 MSDT 通过电子邮件的利用，另一种攻击方式，是通过电子邮件寄送恶意超链接的方式，令受害者下载一个恶意的 diagcab 文件，并以社交工程的方式诱骗受害者点击才能触发。触发后利用路径/目录穿越（Path Traversal），允许攻击者将任何文件，存在文件系统任何地方，比如 Windows 的「启动」文件夹中，进行长期的潜伏，并且这个过程完全是静默的。这种攻击方式有另一个昵称为 DogWalk。

通过后台调用浏览器，解码藏在HTML 文件中的压缩文件

在过去，将各种威胁文件隐藏在压缩文件里，是很常见的行为。因为压缩文件给了恶意软件一个外壳，需要进行解压缩才能分析，但这对于多数的杀毒分析机制都不是什么大问题。于是，攻击者在压缩文件加上密码，并于邮件中告知受害者密码，这就给了病毒附件机会躲过杀毒检测并执行后续的后门安装。我们在本季看到了一个有别于传统攻击手段的利用。

这个特别的利用方式是，在电子邮件的附件中放入一个 HTML 文件，当这个 HTML 被受害者点击后，便会“下载”一个加密的恶意文件。事实上，这并非真的从网络上“下载”一个恶意文件，而是通过浏览器，解码出内嵌于 HTML 内的一个加密恶意文件，由于这个文件不是从外部而来，因此浏览器的文件下载保护，及 Windows 内建的「网络标记」(Mark of the Web)保护也会因此失效。根据我们分析的恶意样本，加密的 zip 里是一个 PE 文件的后门程序。

电子邮件的附件文件中放入一个 HTML 文件，再借由这个 HTML 被受害者点击后，下载一个加密的恶意文件

通过浏览器，出内嵌于 HTML 内的一个加密恶意文件，文件并非从外部而来

结论

在电子邮件安全在早期还不受重视时，多数的收信软件或是 Webmail，几乎都能像浏览器一样完整的执行各种网页程序。随着时间推移，大家慢慢意识到电子邮件这个通道若不进行管控或限制，会是一个很容易被主动攻击的突破口。因此，现在的收信软件或是 Webmail 都不再能直接执行各种网页程序。攻击者在演化的过程中留意到了电子邮件可夹带各种附件的可能性，开始通过夹带各种恶意文件以利用这些文件开启软件的漏洞。HTML 可以调用本地浏览器开启，在过去经常被用来做脱机钓鱼，这次我们看到了脱机下载文件攻击样本，未来在呼叫浏览器的利用方面恐怕将更加深化及普及化。