過去三年間,惡意軟體和其他類型惡意程式碼最常見的載體之一是不起眼的電子郵件附件。具體而言,HTML(超文本標記語言)編碼的附件越來越用於進行多種且日益複雜的網路犯罪,包括使用遠端存取木馬(RAT)進行身份盜用、勒索軟體攻擊和網路釣魚詐騙。令人擔憂的是,此狀況並非單一事件,也並非某惡意人士進行的某種大規模攻擊;惡意 HTML 附件現在似乎是 2023 年全球許多獨立駭客的首選方式。
其更複雜的攻擊則有時被稱為「HTML 走私」,HTML 附件本身中就含有惡意負載內容,該技術(儘管各種網路犯罪者多年來皆熟知也會使用)因著名惡意人士 NOBELIUM 的魚叉式網路釣魚活動而受到矚目。近年來,該技術被用來傳播各種知名的惡意軟體,包括 Mekotio(惡名昭彰的銀行木馬程式)、Trickbot 和 AsyncRAT/NJRAT。此類網路犯罪的興起造成了三分之一的美國家庭受到某種惡意軟體的感染,有必要了解惡意 HTML 附件(和 HTML 走私)攻擊的原理以及防範方式。因此,我們製作了這份 HTML 附件和 HTML 走私指南,幫助您隨時隨地放心存取電子郵件。
什麼是惡意 HTML 附件?
惡意 HTML 附件是一種惡意軟體,通常以附件的方式出現在電子郵件中,並主要在使用者點擊受感染的 HTML 檔案附件時被啟動。啟動後,使用者就會透過外部託管的 JavaScript 程式庫被重新導向至駭客的網路釣魚網站(或攻擊者控制的其他形式惡意內容,例如登入頁面)。該種 HTML 網路釣魚詐騙最常見的形式通常看起來像 Microsoft 彈出視窗,並會要求使用者輸入某種個人憑證/登入詳細資訊,之後便會下載駭客電子郵件中的 HTML 檔案附件。輸入後,使用者的詳細資訊將會被傳送給駭客並用於不法,包括財務盜竊、身分盜用和勒索軟體勒索等。
什麼是 HTML 走私?
HTML 走私是 HTML 附件惡意軟體攻擊的更高技術性形式,其利用 HTML 5 和 JavaScript 讓網路犯罪者透過嵌入在 HTML 附件中的特製腳本將惡意程式碼「走私」到受害者的電腦上。當攻擊的受害者在其網路瀏覽器中開啟惡意 HTML 附件時,瀏覽器會解碼嵌入的腳本,而該腳本會在受害者的運算裝置上組裝負載內容,讓駭客在受害者防火牆後本機建立惡意軟體。
此類攻擊利用 HTML 和 JavaScript 都是可信任日常運算(在商業和個人使用的環境中)中最常見和最重要的部分。因此,該技術可以避開標準安全控制軟體(例如網頁伺服器和電子郵件網關)的基於流量的簽章或 .EXE、.ZIP 或 .DOCX 等常見可疑附件類型的檢查。由於惡意檔案是在透過受害者電腦上的瀏覽器載入檔案後建立的,因此標準安全解決方案僅會將其記錄為良性 HTML 和 JavaScript 流量。此外,更先進的網路犯罪技術(例如「混淆」)使駭客能夠成功將其惡意腳本隱藏在更先進的安全軟體中。
HTML 走私的原理是利用錨標記的「下載」標示並使用 JavaScript Blob 在受害者的裝置上組裝負載內容。點擊「下載」標示後,其會允許 HTML 檔案自動下載「href」標籤中引用的惡意檔案。使用 JavaScript 也會執行類似的過程:JavaScript Blob 儲存惡意檔案的編碼數據,然後在傳遞到需要 URL 的 JavaScript API 時對其進行解碼。這表示惡意檔案會使用 JavaScript 程式碼自動下載並在受害者裝置上本機建立。
其他類型的惡意電子郵件附件
由於 HTML 是將惡意軟體走私到使用者系統的常見附件類型之一,因此了解可能同樣危險的其他常見檔案類型非常重要:
.EXE 檔案
如前所述,Windows 作業系統上的 .EXE 檔案或可執行檔是一種常見(且眾所周知)的威脅媒介,應該保持警惕。如果其出現在電子郵件(無論來自受信任的寄件者或其他方式)中,應避免下載和執行該檔案。
.ISO 檔案
ISO 檔案通常用於儲存和交換電腦磁碟機上所有內容的副本,並分發 Apple 或 Windows 等系統。由於 Windows 現在無需任何額外軟體即可掛載此類檔案,此類惡意軟體附件也因此在近年來越來越常見。但是,如果透過個人或專業電子郵件帳戶收到此類檔案,並且沒有要求整個系統或沒有對電腦進行分區以運行多個作業系統,則不需要該檔案。因此,在幾乎所有情況下,請勿下載該檔案並刪除收件匣中的該檔案,因為幾乎絕對是惡意軟體。
Microsoft Office 檔案
由於 Microsoft Office 檔案(例如 .DOCX、.XLSX 或 .PPTX)為標準商業文書檔案而在世界各地廣泛使用,因此是向毫無戒心的企業傳播各種惡意軟體的理想工具。此類檔案也是最難防範的類型之一,通常會假冒急件報價單或最終訂單等內容,欺騙受害者打開檔案。
如何防範惡意 HTML 附件
幸運的是,許多方式能降低和抵禦惡意 HTML 附件所造成的威脅。
電子郵件掃描和保護系統
專業的電子郵件掃描和保護系統是應對惡意電子郵件附件和嵌入式腳本的第一道防禦。然而,如前所述,標準安全系統不足以抵禦當今來自網路犯罪者日益月新的威脅。現今的網路安全專家推薦一種具有機器學習和靜態程式碼分析的防毒解決方案,它能評估電子郵件的實際內容,而不單只是附件。就高階線上網路安全解決方案而言,我們則推薦卡巴斯基專業版。我們的高階套裝能保護企業和個人使用者,其屢獲獎項的系統配備遠端協助和全天候支援。
嚴格的存取控制
即使發生憑證外洩或遺失,限制只讓重要人員進行存取也是減少網路犯罪者實際造成的損害的好方法。最好也確保對有權存取重要系統的使用者使用多重身份驗證(或稱 MFA、雙重驗證或 2FA),為網路安全策略增添保護層來進一步減少暴露。此外,保護重要資產避免員工存取錯誤(特別是在遠端工作時)所造成的影響的一個重要方法是使用虛擬私人網路或 VPN。卡巴斯基的 VPN 能讓使用者透過加密的數位隧道遠端連接到公司的伺服器。無論使用者身在何處,該隧道都能保護其系統避免公共 Wi-Fi 和不安全的網路連線所帶來的潛在危險。
網路安全訓練和最佳實務
確保寶貴資產避免 HTML 附件攻擊的最簡單方法之一是對員工(或自己)進行培訓,了解網路安全最佳實踐以及如何發現可疑電子郵件、檔案和附件,其中包括不與同事共享任何密碼或企業登入資訊,不在多個軟體或帳戶間重複使用密碼(我們建議使用密碼管理器或保險箱來加密密碼並在需要時自動填入密碼),並僅使用高強度密碼或密碼短語(10-12 個字元長並包含特殊字元、數字、大寫和小寫字母的組合)。
HTML 附件常見問與答
什麼是 HTML 附件?
HTML 附件是附加到電子郵件中並以超文本標記語言編碼的檔案。過去幾年中,惡意 HTML 附件(包含嵌入式惡意軟體或基於 JavaScript 的網路釣魚網站連結)已成為網路犯罪者避開電子郵件防火牆和保護系統的常見媒介。
HTML 檔案可能包含病毒嗎?
是,HTML 檔案可能包含病毒和其他類型的惡意軟體,包括網路釣魚詐騙和勒索軟體。該類型的網路攻擊稱為惡意 HTML 附件或 HTML 走私攻擊,其使用 JavaScript 連結偽造登入視窗或嵌入惡意軟體來盜用使用者的登入憑證和個人檔案。
HTML 檔案有危險性嗎?
是,HTML 檔案(包括電子郵件中的附件)對系統具有重大危險性。近年來,網路安全專家發現,使用惡意 HTML 附件竊取個人資料的複雜網路攻擊不斷增加。該類型的攻擊通常稱為 HTML 走私。
什麼是 HTML 走私?
HTML 走私是一種日益常見的網路攻擊方式,其利用超文本標記語言(通常為 HTML 5)和 JavaScript 將各種形式的惡意軟體「走私」到使用者的系統中,並可避開傳統的電子郵件保護協議,並讓駭客在受害者的防火牆後本機建立惡意軟體。
推薦產品
