別再相信「沒在釣魚網頁輸入帳密就不會被盜」的說法,現在駭客只要發這封郵件就有機會還原你的密碼。
ASRC研究中心與中華數位科技,曾在2018/03/28,於官方的Line@帳號發布一則即時的惡意郵件警告,其中我們提到一個特性:
「這種惡意郵件的特殊之處在於,當收件人在 Windows 下解開附檔,並選取.url檔案時,Windows即會主動向.url要求的位址以SMB通訊協定要求資訊,此時已對遠端惡意主機洩漏收件人使用的IP與其電腦名稱。」
圖一:惡意郵件樣本截圖
然而,事情並不如表面那般簡單。惡意主機上的Samba伺服器啟用了NTLMv2驗證,因此當Windows拜訪該主機時,會將使用者的密碼進行雜湊運算後送至伺服器進行驗證。
圖二:進行 NTLMv2驗證時,送出的雜湊碼封包
雖然無法從雜湊碼反推回實際的密碼,但若是密碼的強度不足,只要對密碼字典表進行雜湊編碼後再做比對,就有很高的機會還原密碼了。偷走Windows登入的密碼要做甚麼用呢?駭客又不一定能直接從外部登入你的電腦!但別忘了,你所在的企業單位可能有外部的服務;或者你所使用的各種網路服務密碼都是同一組,不論如何,這個密碼可能都已經被駭客收進密碼猜測的字典檔內了。
圖三:若是密碼強度不足,破解雜湊碼不需要太多時間
同樣的問題也出現在Outlook信件軟體中。由於Outlook支援Rich Text文本格式 (RTF),RTF中又可嵌入OLE物件,在製作攻擊郵件時,只要在RTF格式的郵件中嵌入一個指向外部SMB服務的遠端OLE物件,就能利用Outlook的漏洞 (漏洞編號CVE-2018-0950),讓收信人在預覽郵件時,自動連往外部的SMB服務,並洩露收件人的IP、電腦資訊,以及密碼的雜湊碼。微軟已修正該漏洞並釋出更新,但這個更新只確保了讓Outlook在預覽郵件時,不會自動外連至SMB服務。若是信件中帶有“\\”開頭的連結,使用者離落入陷阱依舊只有一步之遙。
為避免此種類型的攻擊,除了建置良好的郵件過濾機制、定時修補軟體漏洞外,在防火牆上建議應對外連的SMB服務(port 137、139、445)有所限制,以杜絕未來此種類型的攻擊。
目前中華數位SPAM SQR已可防禦這類攻擊。提醒已使用 SPAM SQR 的用戶保持系統與特徵定期更新,以達到最佳防禦效果。