為了躲避郵件防護偵測,攻擊者將惡意檔案藏於密碼壓縮檔。(圖片來源/微軟、JPCERT/CC)

對於廢除PPAP的原因,有2大主要爭議面向,包括密碼同一管道發送、ZIP加密壓縮檔本身安全,以及加密壓縮的附件將使收信端無法掃描惡意,到底PPAP有哪些侷限?對此,我們請資安專家提供意見。

未考量郵件系統遭滲透可能性,以及暴力破解密碼技術門檻降低狀況

基本上,PPAP的流程,就是指將電子郵件夾帶的附件,壓縮成受密碼保護的ZIP檔並經過加密,接下來可將解壓縮的密碼,自動以另一封信發送給對方。如此一來,收到檔案的使用者,需要相應的密碼才能開啟附件,而且,同一封信中,不會同時包含受密碼保護的壓縮檔,以及對應的密碼。

在這樣的過程中,首先,從密碼保護的角度看起。

將受密碼保護的壓縮檔,以及密碼,透過同一管道(也就是電子郵件)寄送,這種方式有效?

以針對電子郵件竊取的攻擊而言,TeamT5執行長蔡松廷指出,通常如果成功,絕大部分都不會只偷到單一封郵件,而是個人或是整個郵件伺服器的郵件都會被竊取,因此,密碼用另一封信寄出,其實一樣會被看到。

換言之,不論自動或手動寄送密碼通知信,這種作法並不合理,也沒有太大意義,而過去資安領域其實早已強調,應從第二管道傳遞。

其次,以密碼壓縮ZIP檔的安全性而言,奧義智慧科技資深資安研究員陳仲寬指出,離線暴力破解成本低,若每次採手動設定密碼,這也可能因為使用者懶惰,使得密碼原則容易被猜到,例如日期加上公司名稱的原則。

這其實指出許多問題,例如:暴力破解的威脅。現在電腦的運算能力比早年高出許多,因此破解加密與猜測密碼更容易,且密碼壓縮檔並未限制嘗試錯誤次數,或要求最低密碼長度與複雜度,這都反映了ZIP檔的防護局限。

利用密碼壓縮檔暗藏惡意的威脅,近年持續有多起事件

另一方面,經過加密壓縮的郵件附檔,將使收信端無法掃描其中惡意。

在近年社交工程釣魚郵件攻擊與日遽增下,奧義智慧陳仲寬表示,美國國土安全部網路安全暨基礎安全局(CISA)近年時常警告,郵件附檔加密相當可疑,容易被當成惡意,並也讓惡意程式容易利用這樣的方式繞過資安產品。

顯然,這樣的防護是為了避免資安警覺性低的使用者,上當開啟帶有惡意的附件。相對地,若現在企業的管理政策,設定為封鎖無法掃描的附件內容,如此一來,過去在郵件中使用密碼壓縮檔保護文件的方式,做法明顯牴觸。

關於網釣攻擊利用郵件附檔ZIP密碼加密夾帶惡意,並躲避郵件防護偵測的情況,這樣的威脅嚴重嗎?

從多家廠商得到的回覆來看,單以附件ZIP密碼加密暗藏惡意來看,普遍認為,這已是攻擊者常用的基本招式,這樣的手法持續都有,雖少有單一的趨勢觀察,但以電子郵件暗藏惡意連結或附檔的網釣攻擊趨勢來看,不少業者指出確實是有明顯攀升。

是否有相關案例?在國際間,近年Emotet惡意程式的攻擊最受關注。舉例來說,在2019年4月,微軟指出發現Emotet的攻擊,開始在郵件中使用密碼保護ZIP檔以暗藏惡意;在2020年9月日本日本電腦網路危機處理暨協調中心(JPCERT/CC)也發出警告,除了指出當時Emotet攻擊暴增,說明Emotet的主要感染途徑仍與過去相同,透過郵件附件或連結傳播,並公布最常見的案例,包括含有惡意巨集的微軟Office Word文件,或是具有密碼保護的ZIP壓縮檔,特別的是,還衍生出新的攻擊形式,將可入侵企業郵件伺服器,並假冒合法收件者回覆郵件,並包含上述惡意附檔,這也使得收件者很可能不疑有他的開啟。事實上,臺灣近兩年也有發現轉為中文內容的Emotet攻擊活動。

近期,國內也有加密壓縮檔的攻擊事件,例如網擎資訊在2021年3月指出,有一波攻擊是假借顧客退貨名義,鎖定企業客服人員的攻擊,將商品照片存成密碼保護的壓縮檔,並在郵件本文內附上密碼。後續,在2021年的5月到9月間,國內中小企業持續受到攻擊,當時我們詢問到一間曾受害的電商營運長,也說明他們收到佯稱商品瑕疵,附件包含密碼保護的壓縮檔(RAR)的客訴信,員工不疑有他開啟後,懷疑電腦中毒,幸好該公司及時變更電腦上的所有公司相關密碼,因為當日晚間,該中毒電腦登入過的Google帳號,以及公司網路開店平臺帳號,都收到系統嘗試登入失敗通知。

躲避郵件防護偵測,攻擊者將惡意檔案藏於密碼壓縮檔
為了讓郵件中的惡意附檔不被偵測,近年不少攻擊者會偽裝成正常商務郵件,並將附件以ZIP檔加密碼保護,使得郵件安全產品無法過濾其中的惡意程式,近兩年來,國外與國內都有不少這樣的惡意郵件。這也使得資安業者常常提醒企業用戶,郵件中若含有密碼壓縮檔相當可疑,需要特別注意。
(圖片來源/微軟、JPCERT/CC、某電商營運長)

利用各式郵件附檔暗藏惡意,攻擊者不斷找出郵件安全防護偵測破口

最後,企業需要思考的是,隨著網路威脅日益嚴峻,防護策略是否要更嚴格。例如,上面提到惡意郵件附檔也會濫用微軟Office巨集功能, 儘管微軟早已設有警告通知欄的機制,讓使用者開啟巨集文件時會跳出警告,保留功能使用彈性,但只要用戶隨意、輕忽點擊了「啟用」按鈕,巨集就會執行。

最近,微軟防護策略有了大幅轉變,在2022年1月,微軟關閉了Excel 4.0 XLM巨集,在2022年2月7日再度宣布,5款Office程式將陸續改為預設對網路下載文件直接封鎖巨集功能,也就是,日後開啟網路下載巨集文件,將無法一鍵啟用巨集。

如今,企業看待具密碼保護的壓縮檔的方式,可能也要改變。而且,企業還要進一步設想的是,不只是ZIP檔,還有其他壓縮檔案,以及其他檔案或文件格式,例如PDF與微軟Excel等文件,同樣都能夠設定保護密碼,意味著也都無法被郵件安全防護機制,進行防毒與偵測惡意郵件。

無論如何,儘管企業現在還是能夠使用PPAP方式,但是,面對其他企業不再接受郵件附檔包含密碼壓縮檔的現況,或許也要評估,例如,至少要讓郵件附檔可以被郵件安全防護機制掃描,做到最基本的防護。

ZIP加密壓縮檔提供的安全性保護相當有限

一般ZIP檔案格式只是壓縮檔,沒有加密,而具有密碼保護的ZIP檔,在文件壓縮同時會經過對稱式加密保護,普遍簡稱為加密壓縮檔。

不過,ZIP加密壓縮檔本身也有差異,主要是因為使用的加密模式不同所造成,常見的加密模式包括:使用AES加密標準(AES-128或AES-256),以及使用ZIP傳統加密(ZipCrypto),後者相對容易破解。除了加密模式有差別,以安全性而言,設定的密碼長度與複雜度,亦是決定其安全性的主要關鍵。假若,使用者設定了弱密碼,或是日期加上公司名稱等容易猜出規則,要被暴力破解是相對容易。由於現在電腦的運算能力更強,而且這類程式也缺乏錯誤嘗試次數限制,最低密碼長度與複雜度等要求,防護力有侷限。

此外,ZIP加密壓縮,加密對象只針對壓縮檔內儲存的檔案,也就是說,開啟ZIP加密壓縮檔時,即便不知道密碼的人,儘管無法開啟文件,但其實還是可以看到壓縮檔內的文件檔名,並且可對檔案進行刪除與重新命名,這些操作不需輸入密碼,加密範圍也不如RAR壓縮檔。

 相關報導 


熱門新聞

Advertisement