Softnext守内安观察，黑客最爱用这三种手法入侵你！

[注：文章为电子邮件安全专家Softnext守内安编译]

根据Softnext守内安与ASRC研究中心的观察，近期黑客最常运用的三大邮件攻击手法为：Office漏洞入侵、离线钓鱼攻击（Offline Phishing），以及恶意VBA攻击。事实上这三种攻击入侵手法都是老把戏，虽然运用的技术各有不同，但是搭配战术都是透过精心设计的社交工程邮件对使用者设下骗局；并且在三个之中就有两个是利用微软的Office发动的攻击。

Top 3 攻击入侵手法与爱用原因：

Top 1

利用Office漏洞发动攻击，只要打开文档就受黑

黑客透过电子邮件递送特制的Word或RTF格式附件，搭配社交工程手法诱骗使用者开启。只要使用者开启附件，便会触发OLE漏洞或方程式漏洞，自动执行内嵌的恶意指令从远方下载并植入恶意程序，使攻击者可取得受感染电脑的控制权，借以发动其他恶意攻击。

OLE漏洞（CVE20144114）与方程式漏洞（CVE201711882）并非崭新的漏洞，但这些旧漏洞经过时间证明，足够「经典」并且「稳定」、「可被触发」，只要能够成功引起使用者的好奇，一旦附件被开启，不需要使用者再配合执行其他动作，漏洞便会触发执行恶意程序，黑客便能取得电脑掌控权。

虽然微软已发布漏洞修补更新，但是仍然有许多使用者因为没有定期更新的习惯，或是因为使用盗版软件而无法更新、或担心更新后有些功能无法使用…等理由而未更新，因此让黑客有机可乘，让这类手法荣登黑客爱用榜第一名。

Top 2

离线钓鱼（Offline Phishing），绕过上网安全软件与浏览器的钓鱼防护

黑客将钓鱼网页以.html或.mht附件的形式，透过电子邮件递送给使用者，将钓鱼网页直接呈现在受害者的本地端电脑。当使用者上勾填入敏感数据时，便以Post方法将数据传送出去。因为传送Post到外部的行为不会受到浏览器URL检测的保护阻挡，可成功绕过浏览器及部份上网安全软件的钓鱼防护，增加黑客钓鱼成功的机会，荣登黑客爱用榜第二名。

Top 3

VBA攻击，自动判定操作系统以决定接下来的攻击手法

黑客在Word中置入恶意VBA，透过伪装为收据、发票、教学文件等电子邮件发送，当使用者受骗开启附件时，还会指导受害者开启「启用内容」按钮。并且可以自动判定所使用的操作系统环境为Windows或是Mac OS X再决定接下来要下载的攻击工具。还以为使用Mac就不会中毒吗？当MacOS用户变多后，Mac就与Windows一样，是符合经济效益的攻击标的！这个攻击与本文第一名的攻击工具同样都是针对微软Office进行攻击，不过在文档开启后还需要使用者再次配合按下启用内容，名列黑客爱用榜第三名。

虽然最常用的攻击工具可归纳为上述三种，然而黑客搭配运用的社交工程手法千变万化，瞄准人性弱点透过各种佯装与欺骗技俩，诱导使用者配合执行动作或提供帐号密码及其他机敏数据。

Softnext守内安提醒，只要使用者能够把握几个原则，便能避免邮件攻击带来的伤害：

1. 保持系统与软件的更新

2. 不开启来路不明的附件

3. 面对来信要求填写机敏数据、要求登入认证的邮件时，应保持高度怀疑的心态。

此外，光是要求使用者提升安全意识是不够的，企业也应当提供使用者较安全的电子邮件使用环境，以降低被黑风险。Softnext守内安SPAM SQR挂载ADM进阶威胁防御机制，可有效防御各式钓鱼与恶意威胁邮件。

关于SPAM SQR与ADM进阶防御机制

Softnext守内安SPAM SQR内置多种引擎（恶意文档分析引擎、威胁感知引擎、智能诈骗引擎）、恶意网址数据库，并可整合防毒与动态沙箱等机制，以多层式的运行过滤方式，对抗恶意威胁邮件的入侵。

SPAM SQR的ADM（Advanced Defense Module）进阶防御机制，可防御鱼叉式攻击、APT等新型进阶攻击手法邮件。研究团队经长时间的追踪黑客攻击行为，模拟产出静态特征。程序自动解封装文档进行扫描，可发掘潜在代码、隐藏的逻辑路径及反组译代码，以利进行进阶恶意程序分析比对。可提高拦截夹带零时差（Zero-day）恶意程序、APT攻击工具及含有文件漏洞的攻击附件等攻击手法邮件的能力。

关于ASRC垃圾信息研究中心

ASRC垃圾信息研究中心（Asia Spam-message Research Center），长期与Softnext守内安合作，致力于全球垃圾邮件、恶意邮件、网络攻击事件等相关研究事宜，并运用相关数据统计、调查、趋势分析、学术研究、跨业交流、研讨活动...等方式，促成产政学界共同致力于净化网络之电子邮件使用环境。更多资讯请参考www.asrc-global.cn。

国际知名电子邮件安全专家Softnext守内安的邮件归档、邮件网关，对邮件进行加密、归档、审计管理，防病毒，层层过滤邮件威胁，降低企业被入侵风险。

Softnext守内安

微信号：Softnext