從RAR到JavaScript:勒索病毒所使用郵件附件檔的變化
為什麼關鍵是要在閘道阻止勒索病毒 Ransomware (勒索軟體/綁架病毒)?因為電子郵件是勒索病毒最常使用的進入點。根據我們的分析,有71%的勒索病毒透過電子郵件散播。使用垃圾郵件並不是什麼新鮮事,勒索病毒作者持續使用這種感染途徑是因為這是已經經過考驗的做法。也是針對潛在受害者(大型企業和中小型企業)的有效途徑,因為他們通常將電子郵件用在通訊和日常運作上。2016年上半年,我們觀察到網路犯罪分子利用像JavaScript、VBScript和Office巨集文件等檔案類型來躲避傳統的安全解決方案。有些可以直接用來編寫惡意軟體。事實上,作為安全預防措施,微軟預設是關閉巨集功能。
在本文中,我們會研究各種電子郵件附件檔及勒索病毒使用這些檔案類型的變化。
檢視電子郵件附件檔
趨勢科技在上半年已經封鎖和偵測8,000萬次的勒索病毒威脅;其中有58%來自電子郵件附件檔。縱觀今年,我們看到Locky的攻擊活動及其不斷地變更電子郵件附件檔來更大量地散播。根據我們的監控,某些檔案類型在電子郵件附件檔中變多就是因為Locky。
在今年的前兩個月,我們注意到垃圾郵件使用.DOC檔案出現高峰。DRIDEX,一種以使用巨集聞名的網路銀行威脅,在那時據報會散播Locky勒索病毒。從三月到四月,我們看到使用.RAR附件檔的高峰,這也歸因於Locky的攻擊活動。
圖1、企業遭受勒索病毒攻擊的風險,因為他們是會使用巨集功能之生產力應用程式的重度使用者。
從六月到八月,Locky運作者轉而使用JavaScript附件檔。不過這類型的附件檔也會下載其他勒索病毒,像是CryptoWall 3.0和TeslaCrypt 4.0。我們還注意到Locky使用VBScript附件檔,可能是因為容易進行混淆來躲避偵測。七月中至八月,我們開始看到Locky垃圾郵件活動使用Windows腳本檔案(WSF),這可以解釋WSF為何成為最常用在病毒威脅的附件檔類型第二名。
使用WSF可以結合兩種不同的腳本語言。這策略讓它變得很難偵測,因為這通常不是端點解決方案會監控和標記為惡意的檔案類型。Cerber也在2016年五月被發現會使用這種策略。
圖2、JS垃圾郵件附件檔從六月到八月上升歸因於Locky。
最新的Locky變種會使用DLL和.HTA檔案類型來散播。我們推測惡意軟體作者濫用.HTA副檔名是因為它可以繞過過濾程式,因為它並非常見用於網路犯罪的檔案類型。
圖3-4、電子郵件使用.HTA附件檔
由於不斷變化使用各種附件檔,我們懷疑Locky作者將可能會使用其他可執行檔如.COM、.BIN和.CPL來散播病毒威脅。
要封鎖帶有JS、VBScript、WSF和HTA附件檔的垃圾郵件,企業應該使用具備不同反垃圾郵件過濾能力(如啟發式和特徵比對技術)的電子郵件解決方案。此外,具備黑名單機制的解決方案可以封鎖已知的惡意發送IP地址。
要偵測Locky和Cerber的巨集下載程式,電子郵件解決方案應該具備巨集掃描功能,能夠偵測病毒威脅的惡意巨集元件。
常見的電子郵件主旨
像Locky和Cerber這些常見的勒索病毒也是使用一般的社交工程主旨。大型企業和中小型企業都應該要留意郵件主旨,像是發票、包裹快遞、訂單確認、銀行通知和付款收據等。了解這些郵件主旨可以實質性地幫助員工來察覺勒索病毒所用的電子郵件。
這裡是一些其他常用主旨:
- 要求的文件
- 審計報告
- 預算報告
- 通過電子郵件發送:(標籤|照片|圖片)
- 來自{隨意字元}的訊息
- 我們無法派送你的包裹#{隨意字元}。無法派送貨物#{隨意字元}。無法派送你的貨物#{隨意字元}
- 付款收據
- 訂單確認{隨意字元}
- 帳單
圖5、垃圾郵件樣本
解決方法
勒索病毒攻擊的關鍵部分是散播機制。一旦帶有勒索病毒的電子郵件進入網路並且在系統上執行,就能夠加密重要檔案。必須部署閘道解決方案來防止勒索病毒進入網路。
因為這些病毒威脅的本質,企業需要多層次解決方案來全方位的涵蓋接觸面、端點、網路和伺服器。同時強烈建議企業做好備份,以免被迫支付贖金。在今年初,我們進行一次安全性準備調查,訪談來自中小型到大型企業的決策者、購買者和最終使用者是否有進行備份。調查顯示有33%的受訪者不是沒有嚴格執行備份策略就是不知道是否有備份。