钓鱼邮件攻击出现新手法,黑客采用摩斯编码、ASCII等多种编码来混淆附件内容

攻击者为了避免钓鱼邮件遭到拦截,附件文件很可能会利用较为少见的文件格式,来挟带作案工具,例如,光盘镜像文件(ISO、IMG),甚至是Windows镜像文件格式(WIM)等,这些文件格式对于部分邮件防护系统而言,无法解读其中的内容,没办法得知是否有害。但最近也有攻击者改变策略,使用一般邮件可能会出现的附件文件类型,来挟带含有攻击意图的工具,避免上述附件的文件格式可能会被网管人员列为黑名单封锁的情况。

最近微软披露一起挟带HTML文件的钓鱼邮件攻击,攻击者以发送发票为幌子,目的是要偷取用户Office 365的帐密。这起攻击行动自2020年7月出现,为期至少一年,而其中较为特别的地方,就是攻击者借由Base64、ASCII、Unicode、摩斯编码,将HTML程序代码混淆,来规避邮件防护系统检查内容的范围,而且,攻击者每隔1到2个月(平均间隔37天),便会调整、改进编码搭配的方式,使得这类钓鱼邮件的附件更难被发现异状。

值得留意的是,并非整个HTML文件的程序代码,攻击者都会采用相同的编码进行混淆,而是有可能在不同的程序代码片段,利用2至3种编码。微软指出,从HTML程序代码的功能来看,大致可区分为4个模块。

第1个是攻击目标的电子邮件信箱地址,第2个则是从特定来源网站取得受害者所属企业的商标,假若来源网站没有对应的图片文件,HTML文件便会显示Office 365图标。

接着,第3与第4个模块皆为JavaScript程序代码,但功能不同:第3与模块的用途,是加载看起来很模糊的Excel文件画面,并显示用户登录Office 365超过时,需要重新登录。

至于第4个模块的用途,则是会显示假的Office 365登录接口,一旦用户上当输入帐密,这组程序代码便会将账号资料回传,并显示输入密码错误的消息。

从微软汇集整理出的混淆手法演进过程而言,黑客迄今已经更换了10次混淆手法。例如,以攻击初期(2020年7月)而言,黑客尚未采用混淆手法,HTML文件的内容,皆是一般明文的HTML程序代码;而到了2020年8月下旬至10月的攻击行动中,攻击者开始针对企业商标的图片,以及钓鱼工具组件的来源域名,采用Escape编码机制来进行混淆处理,其余部分仍是使用明文的HTML程序代码。

在这些混淆手法的演进过程中,攻击者混合了多种算法来处理附件的HTML文件,像是Base64、ASCII、Unicode编码,以及摩斯编码等,甚至还有部分模块通过二次编码处理的情况,混淆手法可说是相当复杂。

微软指出,这样的HTML文件,各部分程序代码看起来都是无害的,只有在经过解密且组合在一起的时候,才会显现攻击意图,因此,许多邮件防护系统可能难以侦测出异常。

发表评论