【誰之過?】釣魚電郵新攻擊 全靠企業未堵塞Microsoft Exchange Server已知漏洞
釣魚電郵又有新攻擊手法,黑客利用 Microsoft Exchange 伺服器早前被發現的 ProxyShell 及 ProxyLogon 漏洞,入侵企業帳戶,假扮員工向其他人發送內部回覆電郵,成功避過電郵防護系統的攔截。要成全這種攻擊,最要感謝企業 IT 部門未有為伺服器安裝安全更新檔案。
釣魚攻擊的成功率,取決於電郵能否令收件者相信沒有可疑之處,例如發送者的身份有否被驗證、電郵內的連結或檔案是否可疑等。從人類角度出發,如收件者的安全意識夠高,首先會檢查發送者的電郵地址是否偽裝、電郵內文是否錯字連篇;而從電郵防護系統出發,分析的準則就更多,系統甚至會檢查連結傳導的網頁是否與官方有分別。在眾多因素影響下,釣魚電郵攻擊者便要不斷改變攻擊方法,才能讓電郵落入收件夾及令收件者開啟惡意檔案或連結。網絡安全公司 Trend Micro 研究員最近便發現了一項有趣的攻擊手法,並撰文於網誌上跟大家分享。
研究員指出,黑客這次的目標是入侵企業電郵系統,當取得其中一個員工的電郵帳戶後,便會利用回覆電郵手法,將帶有惡意軟件的電郵發送給其他員工,如有員工信以為真,黑客便可於對方電腦安裝惡意軟件如 Qbot、IcedID、Cobalt Strike 及 SquirrelWaffle 等,當中滲透測試工具 Cobalt Strike 更是勒索軟件集團愛使用的工具,因為它的合法性可避開防護工具的偵測,讓黑客在內部網絡建立立足點。研究員解析,黑客選擇以內部回覆電郵發送惡意軟件的原因在於,這些電郵已通過驗證,而且表面上看來似乎是員工之間的電郵回覆,因此既可獲得電郵防護系統放行,收件者亦較傾向相信電郵的指示,大大提高釣魚電郵攻擊的成功率。
不過,研究員指出攻擊者的入侵第一步,即取得企業員工的電郵帳戶,是借助 Microsoft Exchange Server 兩個已知的漏洞,分別是今年三月及四月被發現的 ProxyLogon 及 ProxyShell 漏洞,雖然 Microsoft 方面已推出了修補檔案超過半年,但從這次事件可見,依然有不少企業仍未安裝安全更新檔案,所以即使購買了多少安全工具也好,如果沒有第一時間堵塞已知漏洞,便等於大開中門,邀請黑客入侵。
