在過去三年,惡意軟件和其他類型惡意程式的最受歡迎載體之一就是不起眼的電子郵件附件。具體而言,使用超文本標記語言或 HTML 編碼的附件已成日益為一種用於進行許多不同(且越來越複雜)網絡犯罪的方式,這包括透過木馬程式(RAT)進行遙距存取的身份欺詐、勒索軟件攻擊和網絡釣魚詐騙。令人擔憂的是,這不是一件孤立的事件或來自一個威脅代理的某種大規模攻擊;惡意 HTML 附件現在似乎是 2023 年全球許多個人黑客的首選工具。
在更複雜的情況下,惡意負載藏身於 HTML 附件本身中(有時被稱為「HTML 走私」),這種技術儘管多年來早已為各種網絡犯罪分子所熟知和利用,但透過著名的威脅作案者 NOBELIUM 的魚叉式網絡釣魚活動而變得引人注目。近年來,該技術已被用於傳播一系列著名的惡意軟件,包括 Mekotio(臭名昭著的理財木馬程式)、Trickbot 和 AsyncRAT/NJRAT。隨著此類網絡犯罪的增加以及三分之一的美國家庭已感染某種惡意軟件,瞭解惡意 HTML 附件(和 HTML 走私)攻擊的運作原理以及如何防範變得非常重要。因此,我們編製了這份 HTML 附件和 HTML 走私指南,幫助你無論在哪裡存取你的電子郵件都可以高枕無憂。
甚麼是惡意 HTML 附件?
惡意 HTML 附件是一種惡意軟件,通常以附件的形式出現在電子郵件中。它們主要在使用者點擊受感染的 HTML 檔案附件時被啟動。打開後,透過外部託管的 JavaScript 庫,使用者將被重新導向到黑客的網絡釣魚網站(或攻擊者控制的其他形式的惡意內容,例如登入頁面)。這種 HTML 網絡釣魚騙局的最著名形式通常看起來像 Microsoft 的彈出視窗。該視窗會要求使用者提供某種個人憑據/登入資料,以便他們下載在黑客發出的電子郵件中的 HTML 檔附件。輸入後,使用者的詳細資訊將被發送給黑客供其進一步的利用,包括金融盜竊、身份欺詐和透過勒索軟件進行勒索。
甚麼是 HTML 走私?
HTML 走私是一種採用更先進技術的 HTML 附件惡意軟件攻擊,它利用 HTML 5 和 JavaScript 讓網絡犯罪分子可透過嵌入在 HTML 附件本身的獨特腳本指令碼將惡意程式「走私」到受害者的電腦中。當被攻擊的受害者在其網頁瀏覽器中打開惡意 HTML 附件時,瀏覽器會解碼嵌入式腳本指令碼,然後指示在受害者自己的電腦上組裝有效載荷。這種附件讓黑客可以在受害者的防火牆後面在本機安裝惡意軟件。
這種類型的攻擊所利用的是一個現實情況,即 HTML 和 JavaScript 都是我們日常使用電腦(包括在商業和個人使用的背景中)時最常見和最重要的部分。因此,這種技術可以繞過標準安全控制軟件(例如網頁代理伺服器和郵件閘道),而這些軟件只會檢查基於流量的簽名或通常可疑的附件類型(例如 .EXE、.ZIP 或 .DOCX)。由於惡意檔案是透過受害者電腦上的瀏覽器載入檔案後建立的,因此標準安全解決方案只會註冊良性 HTML 和 JavaScript 流量。此外,更高級的網絡犯罪技術(例如「混淆」)可讓黑客成功地將其惡意腳本指令碼隱藏起來而不被更高級的安全軟件所發現。
HTML 走私的運作原理是利用錨標記的「下載」屬性,並使用 JavaScript Blob 在受害者的電腦上組裝有效負載。點擊「下載」屬性後, HTML 檔就會自動下載「href」標記中指引的惡意檔案。使用 JavaScript 時會執行類似的過程:JavaScript Blob 儲存惡意檔案的編碼資料,然後在傳遞給需要 URL 的 JavaScript API 時對其進行解碼。這意味著使用 JavaScript 程式碼在受害者的電腦上自動下載和在本機組建惡意檔案。
其他類型的惡意電子郵件附件
由於 HTML 是將惡意軟件「走私」到使用者系統的最流行的附件類型之一,因此,也必須瞭解其他可能同樣危險的流行檔案類型:
.EXE 檔
如前所述,Windows 操作系統上的 .EXE 檔或可執行檔是一種你須留意(且眾所周知)的威脅媒介。如果你在電子郵件中看到一個這樣的檔案(無論是否來自受信任的寄件者),則應避免下載和操作該檔案。
.ISO 檔
ISO 檔通常用於儲存和為電腦磁碟中的任何內容製作一個交換副本,並在 Apple 或 Windows 等系統中分發。由於 Windows 現在可以在不需任何額外軟件的情況下安裝這些檔案,因此這種類型的惡意軟件附件近年變得越來越受歡迎。但是,如果你透過個人或專業電子郵件帳戶收到這些檔案,而沒有要求為整個系統,或者沒有為了運行多個操作系統而要求對電腦進行分區,則無需擁有此類檔案。因此,在幾乎所有情況下,都不要下載並從收件匣中刪除此類檔案,因為幾乎可以肯定都是惡意軟件。
Microsoft Office 檔案
Microsoft Office 檔案(例如 .DOCX、.XLSX 或 .PPTX) 作為世界各地的標準商業格式無處不在,這些檔案是向毫無戒心的企業輸送各種惡意軟件的理想工具。這些檔案也是最難防範的威脅之一,它們通常以緊急發票或最終要求的形式出現,誘騙受害者打開檔案。
如何防範惡意 HTML 附件的攻擊
幸好,你可以採取許多步驟來減輕和防禦惡意 HTML 附件帶來的威脅。
電子郵件掃描和保護系統
專用的電子郵件掃描和保護系統是抵禦惡意電子郵件附件和嵌入式腳本指令碼的第一道防線。然而,如上所述,標準的安全系統不足以控制現今網絡犯罪分子所構成的不斷演變的威脅。所以網絡安全專家現在推薦一種使用包含機器學習和靜態程式分析的自動防毒解決方案,它可以評估電子郵件的實際內容,而不僅是附件。對於需要更高級的網上網絡安全解決方案,我們推薦使用 Kaspersky Premium。該系統屢獲殊榮,適用於企業和個人用戶,我們的高級軟件套裝提供遙距援助和 24 小時全天候支援。
嚴格的存取控制
即使發生了入侵或憑據外洩,限制使用者登入基本人員的帳戶是減少網絡犯罪分子實際造成損害的極佳方法。你還應該確保有權存取重要系統的使用者使用多因素身份驗證(有時稱為 MFA、雙因素驗證或 2FA),透過在網絡安全策略中添加另一層保護來進一步減少風險。此外,保護你的重要資產免受員工存取出錯(尤其是遙距工作時)所帶來的影響的一個重要方法是使用虛擬專用網絡或 VPN。Kaspersky 的 VPN 的使用者可透過加密的數碼隧道以遙距方式連接到公司的伺服器。無論員工身在何處,這條隧道可以保護他們的系統免受公共 Wi-Fi 和不安全的互聯網連接的潛在危險侵害。
網絡安全培訓和最佳實踐方法
保護任何寶貴資產免受 HTML 附件攻擊的最簡單方法之一是為你的員工(或你自己)提供培訓,幫助他們瞭解有關網絡安全的最佳實踐方法以及如何發現可疑電子郵件、檔案和附件。這包括不與同事分享任何密碼或業務登入憑據,不在多個軟件或帳戶重複使用相同密碼(我們建議使用密碼管理器或保管庫為你的密碼加密並在有需要時自動填充每個密碼),並且永遠使用強密碼或密碼短語(長度為 10-12 個字元,包含特殊字元、數字、大寫和小寫字母)。
HTML 附件常見問題
甚麼是 HTML 附件?
HTML 附件是電子郵件隨附的檔案,這些檔案以超文本標記語言編碼。在過去幾年中,惡意 HTML 附件(包含嵌入式惡意軟件或以 JavaScript 編碼的網絡釣魚網站連結的附件)已成為網絡犯罪分子繞過電子郵件防火牆和保護系統的流行載體。
HTML 檔會包含病毒嗎?
會。HTML 檔可能包含病毒和其他類型的惡意軟件,包括網絡釣魚詐騙和勒索軟件。這種類型的網絡攻擊被稱為惡意 HTML 附件或 HTML 走私攻擊。它涉及使用指向虛假登入視窗或嵌入式惡意軟件的 JavaScript 連結,以便獲最使用者的憑據和個人檔案。
HTML 檔是否具有危險?
是,HTML 檔(包括電子郵件中的附件)可能對你的系統構成非常大的危險。近年來,網絡安全專家發現使用惡意 HTML 附件盜取個人資料的複雜網絡攻擊有所增加。這種類型的攻擊通常被稱為 HMTL 走私。
甚麼是 HTML 走私?
HTML 走私是一種越來越流行的網絡攻擊形式,它利用超文本標記語言(通常是 HTML 5)和 JavaScript 將各種形式的惡意軟件「走私」到用戶系統中。它可以繞過傳統的電子郵件保護協定,並讓黑客在受害者的防火牆後面在本機組建惡意軟件。
推薦產品:
