2015 上半年度样本剖析
垃圾邮件样本解析
垃圾邮件内容的走向朝两个极端发展,极为精简或极为精致。极为精简型的垃圾邮件其内容十分简短,这样的邮件不容易被反垃圾邮件机制所侦测,整个垃圾邮件本来应该存在的广告内容,通过垃圾邮件中的超链接,转嫁到其它的网站。这些垃圾邮件的发送方式,除了传统的通过殭尸计算机发送外,现在也开始有慢慢朝向利用云端或租用寄宿服务进行发送,这样也可以有效避开基于IP地址分析的侦测机制。



简短的邮件不容易被反垃圾邮件机制所侦测

垃圾邮件另一种取向就是精致化,看起来像正式的电子报。但与电子报不同的地方是,它并非经过收信者订阅才发送,而是不请自来的,也无法有效退订。一般若无合适的发送名单,这类型的垃圾邮件会试图发送给官方网站公开的服务或业务邮箱,而这些邮箱多半可能背后的收信者是一个群组或部门,因此进到企业内部后,就可能因为邮件服务器的帐户别名效果,让此类垃圾邮件看起来十分泛滥。



较为精致的垃圾邮件



垃圾邮件的最后还会有一大段不相关的干扰文字,用以扰乱侦测



在日本流行的垃圾邮件不同于其它地区,它充满许多符号及由符号组合出的图形,内容与排版也十分精致



中国流行的垃圾邮件,内文常被置于附件文档中。常见的垃圾邮件附件夹文件有.jpg、.dox、.xls…等
 
威胁邮件样本解析
病毒郵件為了誘騙收信人開啟,會試圖利用隱私、引起好奇、財務金融、工作、運送貨品相關字眼,做為其主旨,或惡意附件的檔名,常見的字詞有:photo、video、review、report、shipping、payment、#PO、fax、Invoice、order…等。



以订单为主题 诱骗收件人打开邮件



自动解压缩包装的病毒程序,其实是由AutoIt写出来的自动执行程序,执行后会通过自动化还原出恶意程序,
但是独立的每一个文档或加一些无关紧要的文字,就不易被扫瞄出其恶意的特性

2015年,以文件格式散布的病毒明显增多,大多是使用Office文件格式,以宏的方式,撰写自动上网下载病毒的程序。为了避免被侦测,其中下载病毒的链接经过混淆方式处理(Obfuscation),必须等收件人执行恶意文件后,才会还原出下载病毒的超链接,并对计算机产生感染。



Office文件格式的宏病毒



恶意的PDF文档,打开后会自动连往hxxp://ghulobi.2urweb.net/fdxscaebdx恶意网站

除了病毒邮件外,钓鱼邮件也有所增加,这类钓鱼邮件诈骗的目标,绝大多数是电子邮件的账号密码。当电子邮件账号密码遭窃取后,就可以查看往来邮件,并进行进一步的社交工程攻击;或利用入侵的电子邮件邮箱,试图以忘记密码功能,取得变更其它网络服务的权限。



钓鱼邮件诈骗的目标,绝大多数是电子邮件的账号密码



还有一部份的钓鱼邮件,会仿照社交网站的交友手法,诱使上勾者访问恶意网站并输入个人的敏感信息
top