2015 上半年度樣本剖析
垃圾郵件樣本解析
垃圾郵件內容的走向朝兩個極端發展,極為精簡或極為精緻。極為精簡型的垃圾郵件其內容十分簡短,這樣的郵件不容易被反垃圾郵件機制所偵測,整個垃圾郵件本來應該存在的廣告內容,透過垃圾郵件中的超連結,轉嫁到其它的網站。這些垃圾郵件的發送方式,除了傳統的透過殭屍電腦發送外,現在也開始有慢慢朝向利用雲端或租用寄宿服務進行發送,這樣也可以有效避開基於IP位址分析的偵測機制。



簡短的郵件不容易被反垃圾郵件機制所偵測

垃圾郵件另一種取向就是精緻化,看起來像正式的電子報。但與電子報不同的地方是,它並非經過收信者訂閱才發送,而是不請自來的,也無法有效退訂。一般若無合適的發送名單,這類型的垃圾郵件會試圖發送給官方網站公開的服務或業務信箱,而這些信箱多半可能背後的收信者是一個群組或部門,因此進到企業內部後,就可能因為郵件伺服器的帳號別名效果,讓此類垃圾郵件看起來十分氾濫。



較為精緻的垃圾郵件



垃圾郵件的最後還會有一大段不相關的干擾文字,用以擾亂偵測



在日本流行的垃圾郵件不同於其它地區,它充滿許多符號及由符號組合出的圖形,內容與排版也十分精緻



中國流行的垃圾郵件,內文常被置於附件檔案中。常見的垃圾郵件附件夾檔有.jpg、.dox、.xls…等
 
威脅郵件樣本解析
病毒郵件為了誘騙收信人開啟,會試圖利用隱私、引起好奇、財務金融、工作、運送貨品相關字眼,做為其主旨,或惡意附件的檔名,常見的字詞有:photo、video、review、report、shipping、payment、#PO、fax、Invoice、order…等。



以訂單為主旨誘騙收信人開信



自動解壓縮包裝的病毒程式,其實是由AutoIt寫出來的自動執行程序,執行後會透過自動化還原出惡意程序,
但是獨立的每一個檔案或加一些無關緊要的文字,就不易被掃瞄出其惡意的特性

2015年,以文件格式散佈的病毒明顯增多,大多是使用Office文件格式,以巨集的方式,撰寫自動上網下載病毒的程序。為了避免被偵測,其中下載病毒的連結經過混淆方式處理(Obfuscation),必須等收件人執行惡意文件後,才會還原出下載病毒的超連結,並對電腦產生感染。



Office文件格式的巨集病毒



惡意的PDF檔案,開啟後會自動連往hxxp://ghulobi.2urweb.net/fdxscaebdx惡意網站

除了病毒郵件外,釣魚郵件也有所增加,這類釣魚郵件詐騙的標的,絕大多數是電子郵件的帳號密碼。當電子郵件帳號密碼遭竊取後,就可以查看往來郵件,並進行進一步的社交工程攻擊;或利用入侵的電子郵件信箱,試圖以忘記密碼功能,取得變更其它網路服務的權限。



釣魚郵件詐騙的標的,絕大多數是電子郵件的帳號密碼



還有一部份的釣魚郵件,會仿照社交網站的交友手法,誘使上勾者拜訪惡意網站並輸入個人的敏感資訊
top