別再相信「沒在釣魚網頁輸入帳密就不會被盜」的說法，現在駭客只要發這封郵件就有機會還原你的密碼。

ASRC研究中心與中華數位科技，曾在2018/03/28，於官方的Line@帳號發布一則即時的惡意郵件警告，其中我們提到一個特性：

「這種惡意郵件的特殊之處在於，當收件人在 Windows 下解開附檔，並選取.url檔案時，Windows即會主動向.url要求的位址以SMB通訊協定要求資訊，此時已對遠端惡意主機洩漏收件人使用的IP與其電腦名稱。」

圖一:惡意郵件樣本截圖

然而，事情並不如表面那般簡單。惡意主機上的Samba伺服器啟用了NTLMv2驗證，因此當Windows拜訪該主機時，會將使用者的密碼進行雜湊運算後送至伺服器進行驗證。

圖二：進行 NTLMv2驗證時，送出的雜湊碼封包

雖然無法從雜湊碼反推回實際的密碼，但若是密碼的強度不足，只要對密碼字典表進行雜湊編碼後再做比對，就有很高的機會還原密碼了。偷走Windows登入的密碼要做甚麼用呢？駭客又不一定能直接從外部登入你的電腦！但別忘了，你所在的企業單位可能有外部的服務；或者你所使用的各種網路服務密碼都是同一組，不論如何，這個密碼可能都已經被駭客收進密碼猜測的字典檔內了。

圖三：若是密碼強度不足，破解雜湊碼不需要太多時間

同樣的問題也出現在Outlook信件軟體中。由於Outlook支援Rich Text文本格式 (RTF)，RTF中又可嵌入OLE物件，在製作攻擊郵件時，只要在RTF格式的郵件中嵌入一個指向外部SMB服務的遠端OLE物件，就能利用Outlook的漏洞 (漏洞編號CVE-2018-0950)，讓收信人在預覽郵件時，自動連往外部的SMB服務，並洩露收件人的IP、電腦資訊，以及密碼的雜湊碼。微軟已修正該漏洞並釋出更新，但這個更新只確保了讓Outlook在預覽郵件時，不會自動外連至SMB服務。若是信件中帶有“\\”開頭的連結，使用者離落入陷阱依舊只有一步之遙。

為避免此種類型的攻擊，除了建置良好的郵件過濾機制、定時修補軟體漏洞外，在防火牆上建議應對外連的SMB服務(port 137、139、445)有所限制，以杜絕未來此種類型的攻擊。

目前中華數位SPAM SQR已可防禦這類攻擊。提醒已使用 SPAM SQR 的用戶保持系統與特徵定期更新，以達到最佳防禦效果。