速来关注!
CACTER邮件安全联合中睿天下发布
《2021年Q4安全报告》
年关将⾄,安全呈现出何种态势?
12⽉频繁出现的病毒邮件攻击以及邮件层出不穷,⼜该如何提升员⼯的防范意识? 下拉查收您的专属邮箱安全报告!
⼀、Q4垃圾邮件宏观态势
根据CAC邮件安全⼤数据中⼼统计,2021年Q4季度中,垃圾邮件占⽐来源53.71%。
超过4.08亿封垃圾邮件来⾃,境内垃圾邮件来源则占46.29%,超过3.5亿封。
⼆、Q4 钓鱼邮件宏观态势
陶瓷基片
2021年第四季度的钓鱼邮件数
环⽐增长3.6%,季度增幅不⼤。
毒素但是钓鱼邮件总量同⽐去年同期增长95.43%,邮件安全威胁的形势不容乐观。
以上数据均来⾃CAC邮件安全⼤数据中⼼。
三、Q4邮件安全数据解读
1. Emotet病毒邮件攻击案例详解
11-12⽉侦测到⼤规模Emotet病毒邮件攻击。
攻击者发送带宏病毒附件的恶意邮件,受害者打开附件后计算机会被⽊马感染,其历史邮件、邮件通讯录信息泄露。
利⽤历史信息构造的恶意邮件
得到⽤户的历史邮件及通讯录等敏感信息后,攻击者再利⽤历史邮件信息构造更多的恶意邮件,通过僵⼫⽹络发送⼤量的恶意邮件给域内⽤户,严重影响正常办公。
攻击者使⽤僵⼫⽹络投递恶意邮件,使⽤户服务器在短时间内收到巨量恶意邮件,综合⽽⾔,此次Emotet病毒邮件攻击有以下⼏个特点:
(1) 信息攻击者利⽤历史邮件收发关系构造病毒邮件,部分邮件使⽤了历史邮件正⽂,⽬的是获取收件⼈的信任关系。
(2) 使⽤了⼤量僵⼫账号、攻击IP资源,实现了发信账号、攻击IP的⾼频率切换,⽬的是绕过反钓鱼的IP限制机制。
(3) 病毒样本为宏病毒,进⾏了免杀处理。部分邮件通过下载链接、加密压缩等形式进⼀步加强免杀,⽬的是绕过当前反病毒的特征查杀。
(4) 病毒释放的⽂件为下载器,下载的攻击载荷疑似具有远控功能。
根据以上的攻击规模、⼿法可以判断,此次emotet是⼀次⼤规模病的毒邮件攻击,攻击范围⼴泛,Coremail的多个客户遭受到攻击。
经过病毒溯源,此次攻击发起者可能为TA551组织。
(5) ⽬前CAC云安全中⼼通过添加邮件特征规则、设置yara⼆进制特征识别规则、部署奇安信杀毒引擎并持续向奇安信反馈样本,针对性加强拦截能⼒。
2.简单命令式样回复账密的钓鱼邮件依然奏效
如上图所⽰,此案件呈现出以下特征:
保护蔬菜此钓鱼邮件设计地⾮常粗糙,攻击者仿冒为邮件管理员,简单粗暴命令要求⽤户回复账号密码。
尽管⼗分可疑,但未接受过反钓鱼演练,意识防护低的⽤户⽆法察觉,仍会有⽤户如实进⾏回复。
此钓鱼邮件还呈现出以下特点:
(1)攻击者使⽤的发信⼈与最后需要⽤户回复的邮箱明显不⼀致。
发件⼈为admin的伪造⽤户,⽆法正常⽤于邮件交互。⽽最后需要⽤户回复的邮箱则为foxmail个⼈邮箱,⽤于搜集信息。攻击者使⽤这类免费的个⼈邮箱,会导致溯源⼯作难度增⼤。电子杂志软件
(2)根据邮件内容,它规避了反钓鱼常⽤的URL链接检查和附件代码检查,仅使⽤⽂本进⾏钓鱼,增加了反钓鱼的检测难度。
(3)基于以上两点可以判断,攻击者使⽤特制的纯⽂本邮件⽤于诱导⽤户回复,反钓鱼只能通过⽂本指纹技术去检测,若再次收到此类钓鱼邮件,可反馈给反钓鱼⼚商,⽤于提升钓鱼邮件⽂本指纹库的数据质量。
四、Q4深度溯源案例
1. 概述
Q4季度,中睿天下通过睿眼分析监控到新型绕过钓鱼邮件,通过云检测平台不完全统计,在各⼤基础设施单位共发起过万次该邮件的url检测请求,⽬前还在持续增加中。
此邮件通过登录已失陷的账户,伪造From字段为电信的通知账户,让收件⼈以为该邮件是来⾃电信发送的验证账户的通知邮件,以此来诱骗收件⼈点击正⽂中的钓鱼链接,正⽂通过⽂本混淆的⽅式来绕过⽹关的检测。
英语统考>闪电f40
链接访问后会获取当前⽤户的IP地址,攻击者以此来判断邮箱是否存活。钓鱼链接为安全系统的登录页⾯,诱使⽤户输⼊账户密码以及经常登录地点。
2. 攻击⼿法分析
该攻击⼿法通过在正⽂中插⼊⼤量的混淆字体,并且通过将混淆字体⼤⼩font-size设置为0,使⽹关等设备能识别,邮件正⽂不显⽰,且只有通过⼗六进制转⽂本字符串才能还原邮件正⽂,⽬前能绕过市⾯上⼤部分邮件⽹关。
图-⼗六进制源码分析
将=符号去掉后即可转换
3. 邮件发件IP分析
对多封恶意邮件源码分析,发现多个发件IP为49.85.233.229、49.84.233.227、221.225.117.169,180.107.4.66对以上IP进⾏分析发现均为代理秒拨,判断该组织使⽤代理池对多个单位批量发送钓鱼邮件。
图-IP分析结果
4. 钓鱼⽹址分析
该组织⼀个域名只使⽤1-2天就更换,难以通过威胁情报分析url。
5. 分析结果
该攻击邮件正⽂进⾏混淆,域名更换较为频繁,绕过⽅式新颖。
邮件头分析发件IP均为国内江苏省IP,ipip打上的标签均为代理秒拨,钓鱼域名为godaddy购买,前期钓鱼域名绑定IP 为43.155.117.247,腾讯云的VPS;近期发现钓鱼域名绑定IP为154.23.134.86,Cogent的VPS。
该组织前期使⽤VPS为腾讯云的,后期更换为国外Cogent的VPS,VPS地址均为⾹港,编码绕过⽤的中⽂,钓鱼⽬标主要为国内各⼤基础设施单位,推断为国内的⿊产组织。
