• 發布單位:TWCERT/CC
• 更新日期:2022-02-10
• 點閱次數:3704

1.簡介
2.「COVID-19」Emotet社交工程攻擊
3.「COVID-19」Emotet社交工程攻擊之防護
4.分析與建議

• 社交工程是一種利用人性弱點，透過釣魚郵件、釣魚網站、電話、通訊軟體或社群媒體等方式誘騙使用者上當，以竊取資訊、取得權限，甚至植入惡意程式於受害主機中，以獲取不法利益。
• Emotet為新型的社交工程攻擊手法，其散布惡意程式的方式以寄送釣魚郵件為主，郵件主旨從過往如發票、轉帳資訊等金融訊息，逐漸發展成結合時事，透過使用者好奇或恐慌的心理，成功達成感染主機之目的。
• Emotet在逐漸演化的過程中，發展出極難辨識真偽的假冒回覆信件釣魚手法。主要是由於Emotet會竊取受害者信箱中之電子郵件，並將其附上帶有惡意程式的附件後，偽裝成受害者回傳給寄件者，在此狀況下寄件者通常在收到回信後不會懷疑，相當容易便落入駭客的陷阱中。
• 2020年1月底，駭客利用震驚全球的「嚴重特殊傳染性肺炎(COVID-19)」疫情，將目標設定為疫情較嚴重之日本，並且偽冒成日本的衛生單位，要求使用者下載附件，以取得最新疫情內容或防護措施，在民眾對疫情的恐慌之下，相當多的民眾都受到了Emotet惡意程式的侵駭。
• 為了防範社交工程攻擊，除了不點擊不明連結及下載附件外，更必須確認郵件、電話、訊息甚至來訪者的身分，避免駭客偽冒他人進行社交工程攻擊。
• 電子郵件系統可透過寄件者政策框架及網域驗證郵件，確認使用者身分及信件的完整性，並透過網域型郵件驗證、報告與一致性機制處理釣魚郵件，減少使用者受騙之機率。
• 對於近期透過「COVID-19」進行的Emotet社交工程攻擊，除了需進行相關社交工程防護機制，在收到相關字樣的郵件時，務必提高警覺才能不受騙上當。

一、簡介

社交工程(Social Engineering)，最主要的攻擊模式為駭客透過電子郵件誘騙使用者點擊信件中之不明連結或圖片等，當使用者點擊後，會被導入惡意的釣魚網站中，或將惡意程式植入使用者裝置中，除竊取資料外更可操控裝置以獲取更多的利益。

在不計其數的社交工程惡意程式中，Emotet為最知名且嚴重的惡意程式之一，會透過釣魚郵件散布惡意程式，其釣魚郵件往往是透過節日、時事等主旨，誘騙使用者點閱後感染。而近期更發現最新的Emotet社交工程攻擊，此攻擊是利用目前全球矚目的「嚴重特殊傳染性肺炎(COVID-19)」疫情，透過民眾的恐懼心理，以大幅提升Emotet惡意程式的感染率。

Emotet最早被發現是在2014年，當時是透過銀行轉帳或傳輸發票等資訊，提供一網路連結，由於其涉及金融及交易方面的資訊，許多使用者為確保其帳戶和資金的正確性，不疑有他地點擊該不明連結，於是被導入惡意網站並下載安裝Emotet惡意程式。

Emotet的第二版是於2014年第三季被發現，其主要是增加了自動轉帳系統(Automatic Transfer System, ATS)功能，可從受害者的金融帳戶中自動竊取資金。在2015年1月，Emotet推出了第三個版本，主要攻擊目標為瑞士銀行。此版本增加了避免受到偵測及躲避檢測的功能。2015年4月又提出了第四個版本，主要是針對逐漸興起的雙重認證機制進行規避

2017年8月再次被偵測到新的Emotet變種惡意程式。而此次的Emotet變種，不似過往僅針對銀行業進行攻擊，而是不侷限任何行業，包括製造業、食品業及醫療業都受到Emotet的攻擊。此外，其攻擊的主要目標地區為美國、英國及加拿大。

而後，Emotet發展及改版愈發迅速，除了從最初的銀行木馬轉變為針對其他行業或組織的嚴重威脅性惡意程式外，更在發送大量釣魚郵件時修改其郵件主旨和語系。2019年4月12日至16日期間，Emotet被偵測到將轉為中文語系的釣魚郵件傳送給台灣地區，使得2019年上半年期間，Emotet成為對台灣企業影響最為嚴重的十大惡意程式之一。

除了地理位置的擴張外，經過數次改版後，Emotet開始竊取受害主機中的電子郵件內容，並假冒收到信件之受害者寄送回覆信件給寄件人，由於該信件確實為寄件人所發出，且信件內容大抵相同，因此許多收到回覆信件的使用者便不疑有他，點擊並下載信件中的附件，導致Emotet惡意程式植入其中並以此將惡意程式擴散得更為廣泛。

隨著Emotet不斷地更新其功能，除了針對發票、運輸、金融項目等方式以及寄送假冒的回覆郵件外，Emotet的釣魚信件開始針對節日或活動，吸引有興趣的使用者點擊其連結。最近最嚴重的，便是駭客透過「嚴重特殊傳染性肺炎」、「COVID-19」、「新型冠狀病毒」、「Coronavirus(冠狀病毒)」等作為主旨，寄送給民眾，假冒提供民眾疫情的資訊及防護措施等，實則誘騙使用者點擊並下載附件檔案，以達到感染和傳播Emotet惡意程式之目的。

TOP

二、「COVID-19」Emotet社交工程攻擊

(1)「COVID-19」Emotet攻擊概述
2020年1月，嚴重特殊傳染性肺炎(Coronavirus Disease, COVID-19)被世界衛生組織(World Health Organization, WHO)宣布為國際關注公共衛生緊急事件，受到全球的矚目，各國紛紛提出相關防疫機制，民眾亦紛紛採取消毒及防護措施。駭客便利用此次的疫情散播相關的網路釣魚訊息，駭客為達到最大的效益，將其攻擊目標設定為疫情相對嚴重的日本地區，透過大眾對疫情揣揣不安的心態，提升釣魚郵件的成功率。

由於此次攻擊目前主要針對日本地區，其電子郵件中都以日語撰寫，該信件中則有附上一word類型之文件，內文會告知使用者，此附件為針對疫情的通知，請收件者務必檢查附件檔案中的內容。當使用者下載並開啟該附件檔案後，附件中的VBA巨集腳本將會自動安裝Emotet的下載器，且由於該動作均於後台運行，因此使用者往往不知道主機已經安裝並感染了Emotet惡意程式。而在主機遭受感染後，將會下載並安裝更多的惡意程式以竊取機敏資訊如憑證、瀏覽紀錄及重要文件等，以及針對金融帳戶進行惡意行為，導致使用者金融上的損失，甚至還會透過受害主機中的聯絡人和歷史的通訊紀錄將惡意程式傳播給更多人。

(2)「COVID-19」Emotet攻擊比較
對於一般的社交工程手法而言，其觸及受害者的方式相當多元，其中以網路釣魚的電子郵件最為盛行。以往的釣魚郵件是用同樣的主旨、內容，透過殭屍網路等方式大量發送給受害者。然而，Emotet的主旨會隨著時事變化，甚至透過受害者的帳號傳送釣魚郵件給聯絡人中的其他使用者，以提升對方對該釣魚信件的信任程度。此外，Emotet甚至還會偽裝成受害者身分回覆該信件給寄件者，並在信件中附上帶有惡意程式的附件，使得對方收到信件並確認是當初所寄送之信件後，便不疑有他地下載其附件，導致Emotet的感染效率大幅上升。而受害者在遭到Emotet惡意程式感染後，其資料竊取方式是以偵測使用者網路流量及其內容為主，由於該種偵測方式並無明顯造成使用者提升警覺性，且該惡意程式的相關運作都於後台執行，大多數的使用者對於自身已遭受惡意程式感染一無所知。

由於過往的Emotet釣魚郵件是以金融類型之主旨為主，大部分的國家、企業或組織都以「發票」、「付款」、「資金變更」等部分進行防護，在針對新冠狀病毒事件所散布之釣魚郵件，是以大眾對病毒疫情的恐懼心理誘騙上當，許多防護就顯得較為不足，其詐騙的成功率也因此提高許多。

TOP

三、「COVID-19」Emotet社交工程攻擊之防護

對於Emotet惡意程式的社交工程攻擊。除了一般社交工程之防範方式外，由於Emotet散布惡意程式的方式為透過郵件中的附件，因此應阻擋容易帶有惡意程式的檔案，以及禁止帶有郵件系統無法掃描的如ZIP壓縮檔的信件，主機也需安裝防毒軟體、防火牆以及電子郵件篩選功能之相關軟體或系統，並定期更新以維護其最佳的防護能量。除此之外，為防範Emotet藉由Office巨集感染受害主機，因此針對Office系統應禁止系統自動執行巨集。

由於Emotet會偽裝成回覆信件，導致對方在毫無戒心的情況下感染惡意程式，為避免受騙上當，可透過各種防範機制，驗證電子郵件寄送者的身分，確保信件內容完整性，以大幅降低偽冒他人網域發送釣魚及垃圾郵件的威脅，自然亦減少Emotet釣魚郵件帶來的資安問題。

對於組織或企業內的管理者而言，亦須針對一般社交工程進行防範，例如提供員工資安教育訓練，減少甚至避免釣魚郵件的威脅。企業所使用的電子郵件系統必須能過濾垃圾郵件，以減少員工或相關人員觸及釣魚郵件並受騙之機率。此外，企業需針對所有員工設定開放權限等級，並以最低授權為原則，以提供員工足以支應日常作業之授權即可。同時也將內部的網路區隔，避免感染後擴散。除此之外，企業可採用全面性的防護系統，將企業的主機、網路、伺服器、路由器等都涵括於防護系統中，進行全方位的資安防禦，減少社交工程帶來的威脅。

若使用者真的不幸感染Emotet惡意程式，則應立即將裝置中安全之檔案進行備份，並針對該裝置中使用的電子郵件信箱及聯絡人發出警訊，提醒相關連絡人避免受騙上當。受感染裝置中使用的郵件信箱、帳號密碼等資訊，都應修改或刪除，避免資料外洩後遭到駭客操縱。

此外，由於Emotet本身具有在組織內傳播之能力，因此除了必須立即將確認受感染裝置隔離外，組織內的其餘裝置都應檢查是否遭到波及。而Emotet除自身惡意行為外，也會在侵入裝置後自動下載更多的惡意程式，因此，不僅需檢測Emotet感染與否，同時也必須檢測其他相關可能的惡意程式，並且立即進行處理。

由於Emotet之釣魚郵件及功能越來越貼近生活，往往以生活中平凡無奇，或是受到特別矚目的事件作為誘餌，誘騙使用者點擊不明連結或下載附件，以達到駭侵之目的。因此，使用者必須要有一定的危機意識，即便該電子郵件看似正常，或是能夠對使用者產生利益或威脅等，都應仔細審視、謹慎處理。否則若使用者沒有社交工程的警覺性，即便使用多完善的防護系統、多強大的防火牆，都可能被駭客透過名為「人」的漏洞趁虛而入。

TOP

四、分析與建議

(1) Emotet會以節日或重大事件做為信件主旨，近期則利用COVID-19疫情爆發事件，針對大眾恐慌的心態，誘騙使用者下載附件後感染惡意程式，甚至竊取受感染主機中的信件內容，假冒成受害者，將該郵件附上帶有惡意程式的附件後，回覆給當初的寄送者，導致寄送者難以察覺該郵件曾遭到偽冒，而成為惡意程式的下一個感染者。

(2) 在眾多社交工程攻擊中，最為常見的攻擊手法為透過釣魚郵件誘騙使用者落入陷阱，因此，建議可透過電子郵件系統中的相關防護機制，確認寄送者的身分，確保信件內容完整性，並採取適當處理方式，如此方可減少使用者在難以辨識釣魚郵件的情況下蒙受損失。

(3) 在近期透過COVID-19進行的Emotet社交工程攻擊中，除了需進行相關社交工程防護機制外，當使用者收到COVID-19相關字樣的郵件時，務必提高警覺不受騙上當。同時也盡量關閉Office系列的自動啟用巨集功能，避免Emotet惡意程式透過巨集感染使用者裝置。

(4) 若不幸遭到Emotet感染，建議使用者應立即將安全之文件進行備份、修改主機中電子信箱的密碼等資訊，並且將受感染主機與其他主機或設備隔離，避免惡意程式透過網路傳播出去，招致更多的主機或設備遭受攻擊。

(5) 由於社交工程主要是透過「人」進行攻擊，因此，不論是何種社交工程攻擊，都應提升使用者的資安意識，提供足夠的知識進行驗證及防護，避免因人為疏失造成額外損失。並且Emotet釣魚郵件往往是偽裝成知名人物、企業或政府單位的身分進行攻擊，因此，必須提供民眾對釣魚郵件的辨識方法，例如特殊符號、內容等，以確認該郵件為真正單位所寄送。

(6) 由於社交工程等攻擊手法不斷演進，因此不論是企業、組織或政府單位，都建議應隨時追蹤、更新資安訊息，定期提供相關人員參考，提升其資安防護意識，避免成為攻擊目標時措手不及。

(7) 針對常見且嚴重的惡意程式，建議應定期檢測或從資安組織公開資訊中更新其最新狀態，以加強主機及系統的防護，避免在突如其來大量的惡意程式攻擊下成為受害者。

(8) 當天災或人禍發生時，許多駭客會濫用大眾的愛心、恐慌、擔憂進行詐騙或攻擊，因此當全球重大事件發生時，建議相關資安單位或組織應立即設想駭客可能透過該事件進行的攻擊模式，並以此告知相關單位或大眾，進行即時性的防護及提高防護意識。

(9) 當資安事件爆發或在其他地區爆發時，建議相關單位除了進行立即性的資安意識培訓及宣導，亦必須提供當使用者不幸遭受攻擊時的解決辦法，以避免受害範圍擴散。

TOP