CACTER郵件安全聯(lián)合中睿天下發(fā)布《2021年Q4企業(yè)郵箱安全報告》。年關(guān)將至,企業(yè)郵箱安全呈現(xiàn)出何種態(tài)勢?12月頻繁出現(xiàn)的病毒郵件攻擊以及詐騙郵件層出不窮,又該如何提升員工的防范意識?下滑查收您的專屬郵箱安全報告!
一、Q4垃圾郵件宏觀態(tài)勢
根據(jù)CAC郵件安全大數(shù)據(jù)中心統(tǒng)計,2021年Q4季度中,垃圾郵件占比來源53.71%。
超過4.08億封垃圾郵件來自境外,境內(nèi)垃圾郵件來源則占46.29%,超過3.5億封。
二、Q4 釣魚郵件宏觀態(tài)勢
2021年第四季度的釣魚郵件數(shù)量環(huán)比增長3.6%,季度增幅不大。
但是釣魚郵件總量同比去年同期增長95.43%,郵件安全威脅的形勢不容樂觀。
以上數(shù)據(jù)均來自CAC郵件安全大數(shù)據(jù)中心。
三、Q4郵件安全數(shù)據(jù)解讀
1. Emotet病毒郵件攻擊案例詳解
11-12月偵測到大規(guī)模Emotet病毒郵件攻擊。
攻擊者發(fā)送帶宏病毒附件的惡意郵件,受害者打開附件后計算機會被木馬感染,其歷史郵件、郵件通訊錄信息泄露。
得到用戶的歷史郵件及通訊錄等敏感信息后,攻擊者再利用歷史郵件信息構(gòu)造更多的惡意郵件,通過僵尸網(wǎng)絡(luò)發(fā)送大量的惡意郵件給域內(nèi)用戶,嚴重影響正常辦公。
攻擊者使用僵尸網(wǎng)絡(luò)投遞惡意郵件,使用戶服務(wù)器在短時間內(nèi)收到巨量惡意郵件,綜合而言,此次Emotet病毒郵件攻擊有以下幾個特點:
(1) 信息攻擊者利用歷史郵件收發(fā)關(guān)系構(gòu)造病毒郵件,部分郵件使用了歷史郵件正文,目的是獲取收件人的信任關(guān)系。
(2) 使用了大量僵尸賬號、攻擊IP資源,實現(xiàn)了發(fā)信賬號、攻擊IP的高頻率切換,目的是繞過反釣魚的IP限制機制。
(3) 病毒樣本為宏病毒,進行了免殺處理。部分郵件通過下載鏈接、加密壓縮等形式進一步加強免殺,目的是繞過當(dāng)前反病毒的特征查殺。
(4) 病毒釋放的文件為下載器,下載的攻擊載荷疑似具有遠控功能。
根據(jù)以上的攻擊規(guī)模、手法可以判斷,此次emotet是一次大規(guī)模病的毒郵件攻擊,攻擊范圍廣泛,Coremail的多個客戶遭受到攻擊。
經(jīng)過病毒溯源,此次攻擊發(fā)起者可能為TA551組織。
(5) 目前CAC云安全中心通過添加郵件特征規(guī)則、設(shè)置yara二進制特征識別規(guī)則、部署奇安信殺毒引擎并持續(xù)向奇安信反饋樣本,針對性加強攔截能力。
2.簡單命令式樣回復(fù)賬密的釣魚郵件依然奏效
如上圖所示,此案件呈現(xiàn)出以下特征:
此釣魚郵件設(shè)計地非常粗糙,攻擊者仿冒為郵件管理員,簡單粗暴命令要求用戶回復(fù)賬號密碼。
盡管十分可疑,但未接受過反釣魚演練,意識防護低的用戶無法察覺,仍會有用戶如實進行回復(fù)。
此釣魚郵件還呈現(xiàn)出以下特點:
(1)攻擊者使用的發(fā)信人與最后需要用戶回復(fù)的郵箱明顯不一致。
發(fā)件人為admin的偽造用戶,無法正常用于郵件交互。而最后需要用戶回復(fù)的郵箱則為foxmail個人郵箱,用于搜集信息。攻擊者使用這類免費的個人郵箱,會導(dǎo)致溯源工作難度增大。
(2)根據(jù)郵件內(nèi)容,它規(guī)避了反釣魚常用的URL鏈接檢查和附件代碼檢查,僅使用文本進行釣魚,增加了反釣魚的檢測難度。
(3)基于以上兩點可以判斷,攻擊者使用特制的純文本郵件用于誘導(dǎo)用戶回復(fù),反釣魚只能通過文本指紋技術(shù)去檢測,若再次收到此類釣魚郵件,可反饋給反釣魚廠商,用于提升釣魚郵件文本指紋庫的數(shù)據(jù)質(zhì)量。
四、Q4深度溯源案例
1. 概述
Q4季度,中睿天下通過睿眼分析監(jiān)控到新型繞過釣魚郵件,通過云檢測平臺不完全統(tǒng)計,在各大基礎(chǔ)設(shè)施單位共發(fā)起過萬次該郵件的url檢測請求,目前還在持續(xù)增加中。
此郵件通過登錄已失陷的賬戶,偽造From字段為電信的通知賬戶,讓收件人以為該郵件是來自電信發(fā)送的驗證賬戶的通知郵件,以此來誘騙收件人點擊正文中的釣魚鏈接,正文通過文本混淆的方式來繞過網(wǎng)關(guān)的檢測。
鏈接訪問后會獲取當(dāng)前用戶的IP地址,攻擊者以此來判斷郵箱是否存活。釣魚鏈接為安全系統(tǒng)的登錄頁面,誘使用戶輸入賬戶密碼以及經(jīng)常登錄地點。
2. 攻擊手法分析
該攻擊手法通過在正文中插入大量的混淆字體,并且通過將混淆字體大小font-size設(shè)置為0,使網(wǎng)關(guān)等設(shè)備能識別,郵件正文不顯示,且只有通過十六進制轉(zhuǎn)文本字符串才能還原郵件正文,目前能繞過市面上大部分郵件網(wǎng)關(guān)。
將=符號去掉后即可轉(zhuǎn)換
3. 郵件發(fā)件IP分析
對多封惡意郵件源碼分析,發(fā)現(xiàn)多個發(fā)件IP為49.85.233.229、49.84.233.227、221.225.117.169,180.107.4.66對以上IP進行分析發(fā)現(xiàn)均為代理秒撥,判斷該組織使用代理池對多個單位批量發(fā)送釣魚郵件。
4. 釣魚網(wǎng)址分析
通過用戶點擊正文的確認鏈接,跳轉(zhuǎn)到網(wǎng)址[http://www.***.com],該網(wǎng)址為釣魚網(wǎng)站,模仿安全系統(tǒng)登錄頁面。
主要目的誘騙用戶的賬戶密碼,目前該組織所有釣魚網(wǎng)址反查IP均為43.155.117.247,154.23.134.86,釣魚網(wǎng)址為http://www.**.com、http://www.***.com。
該組織一個域名只使用1-2天就更換,難以通過威脅情報分析url。
5. 分析結(jié)果
該攻擊郵件正文進行混淆,域名更換較為頻繁,繞過方式新穎。
郵件頭分析發(fā)件IP均為國內(nèi)江蘇省IP,ipip打上的標(biāo)簽均為代理秒撥,釣魚域名為godaddy購買,前期釣魚域名綁定IP為43.155.117.247,騰訊云的VPS;近期發(fā)現(xiàn)釣魚域名綁定IP為154.23.134.86,Cogent的VPS。
該組織前期使用VPS為騰訊云的,后期更換為國外Cogent的VPS,VPS地址均為香港,編碼繞過用的中文,釣魚目標(biāo)主要為國內(nèi)各大基礎(chǔ)設(shè)施單位,推斷為國內(nèi)的黑產(chǎn)組織。