以HTML挟带手法躲避侦测的网钓攻击越来越多了

微软警告近日愈来愈多攻击者，使用HTML挟带（HTML smuggling）这种隐匿手法，躲过安全产品防堵以成功散布恶意程式。

HTML挟带是利用HTML5和JavaScript的高度隐匿攻击手法。攻击者制作挟带恶意JavaScript的HTML网页，并传送含有URL或附档的钓鱼信件，诱使用户点选并开启附件。主流浏览器解码JavaScript、载入网页，从网站下载恶意程式，并在用户装置上组合成恶意档案，如银行木马或勒索软件。

图片来源_微软

早在5月，俄国骇客组织Nobelium活动即使用HTML挟带手法，但近日微软发现更多案例。7月有2波电子邮件攻击活动利用这手法，散布银行木马Mekotio及Ousaban，受害者分布巴西、墨西哥、秘鲁、西班牙和葡萄牙。7月和9月分别有钓鱼信件散布木马AsyncRAT/NJRAT及Trickbot（如下图所示）。此外，微软发现到一个骇客组织利用HTML挟带锁定教育及健康产业，先骇入用户电脑再散布Ryuk勒索软件。

图片来源＿微软

HTML挟带手法是使用HTML5或JavaScript的合法功能，并且在网络防火墙后合成恶意档案，而非从外部网域下载恶意执行档，因此能躲过一般周界的安全产品，像是Web代理程式和电子邮件闸道的检查，因这些产品只根据特征和规则检查可疑附件（如EXE、ZIP和DOCX）或流量，使其成为高度隐匿的攻击手法。

微软建议启动端点安全规则，包括防止JavaScript、VBScript及未受信任的执行档。此外，使用能扫描恶意连结、恶意附档的电子邮件安全产品、防火墙及代理服务器，避免任意连结外部网站及下载档案，可以防堵这类攻击手法。

不过HTML挟带攻击仍然需要使用者动作，点击URL或邮件附档。因此要防止这类攻击，最根本方法是用户提高警觉，不要随意开启陌生或不受信赖来源的电子邮件。