ASRC 2019年第三季度電子郵件安全趨勢(shì)

信息化觀察網(wǎng)
信息化觀察網(wǎng)
CVE20144114漏洞利用頻率,一季比一季高,9月達(dá)到了高峰,較于今年一月的頻率成長(zhǎng)了30倍以上,且并非平均分布,而是集中在某些企業(yè)單位才出現(xiàn)大量攻擊,被攻擊目標(biāo)企業(yè)包括電子、食品、醫(yī)療相關(guān)產(chǎn)業(yè)。其次是CVE20180802漏洞利用,雖然沒(méi)有明顯的突發(fā)性成長(zhǎng),每月都有穩(wěn)定的攻擊數(shù)量。

根據(jù)ASRC研究中心(Asia Spam-message Research Center)與守內(nèi)安的觀察,2019年第三季不論是垃圾郵件或攻擊郵件,在數(shù)量上都有明顯上升。釣魚郵件以及經(jīng)過(guò)變化后的附件文件釣魚郵件,是所有攻擊郵件中最引人注目的;其次是漏洞利用的攻擊,今年于電子郵件附件中最常見(jiàn)的漏洞利用當(dāng)屬CVE20144114、CVE20180802及其后續(xù)的衍生變形攻擊。CVE20144114數(shù)量在第三季度大幅增加,主要被攻擊的目標(biāo)有電子、食品、醫(yī)療相關(guān)產(chǎn)業(yè);最后則是鏡像文件病毒以及域名詐騙,這類威脅雖不直接,但也是信息安全防御工程上需要特別留意的地方。

漏洞利用頻率創(chuàng)新高,較今年一月成長(zhǎng)超過(guò)30倍

CVE20144114漏洞利用頻率,一季比一季高,9月達(dá)到了高峰,較于今年一月的頻率成長(zhǎng)了30倍以上,且并非平均分布,而是集中在某些企業(yè)單位才出現(xiàn)大量攻擊,被攻擊目標(biāo)企業(yè)包括電子、食品、醫(yī)療相關(guān)產(chǎn)業(yè)。其次是CVE20180802漏洞利用,雖然沒(méi)有明顯的突發(fā)性成長(zhǎng),每月都有穩(wěn)定的攻擊數(shù)量。以第三季度的樣本為例,最常見(jiàn)的就是夾帶.xlsx的附件,少量為.doc的附件,附件文件名多半帶有Swiftt Copy、Scan、RFQ、Request、Remittance、Quotation、Purchase、Invoice、PO、Payment、Order等關(guān)鍵詞。

CVE20180802漏洞利用攻擊樣本

漏洞利用攻擊防御建議

建議企業(yè)單位除了采用合適的郵件過(guò)濾軟件外,也應(yīng)進(jìn)行內(nèi)部軟件信息安全盤點(diǎn),將已知的漏洞修補(bǔ),防范后續(xù)的N Day攻擊。

附件文件釣魚郵件利用瀏覽器與收信軟件特性,發(fā)展更多更復(fù)雜的攻擊組合

附件文件釣魚郵件近幾年的數(shù)量持續(xù)占有一定比例,主要是在一封釣魚郵件中,不直接放入釣魚網(wǎng)站的鏈接,取而代之的是放入一個(gè)帶有釣魚網(wǎng)站鏈接及其他網(wǎng)頁(yè)程序代碼的HTML附件。與一般釣魚郵件目的相同,是為了騙取收件者的個(gè)人信息,但附件文件釣魚郵件會(huì)利用瀏覽器與收信軟件的某些特性,做出更多復(fù)雜的攻擊組合。比如某些收信軟件會(huì)將.html的附件文件內(nèi)容直接展開在郵件內(nèi);.html由瀏覽器打開后,可以不再受到收信軟件的限制,而能執(zhí)行Javascript、頁(yè)面跳轉(zhuǎn)等復(fù)雜與高風(fēng)險(xiǎn)的操作。釣魚網(wǎng)址,可以躲過(guò)郵件掃描;通過(guò)合法網(wǎng)站的寄宿,還可繞過(guò)瀏覽器釣魚黑名單的封鎖。

附件文件釣魚郵件樣本

附件文件釣魚郵件其中的.html展開后,會(huì)從本機(jī)的html頁(yè)面,跳轉(zhuǎn)至真實(shí)的釣魚網(wǎng)站

 

附件文件釣魚郵件其中的.html,帶有寄宿于合法網(wǎng)站的釣魚頁(yè)面

附件文件釣魚郵件防御建議

面對(duì)釣魚威脅,最好從人的認(rèn)知著手!在任何地方,要求輸入個(gè)人信息時(shí),特別不是由“主動(dòng)獲取服務(wù)而進(jìn)行認(rèn)證”;當(dāng)“被動(dòng)要求認(rèn)證”時(shí),一定要與原需求認(rèn)證的單位通過(guò)其他渠道作確認(rèn)。

鏡像文件有其特定用途,多數(shù)因防御機(jī)制忽略檢查,而淪為攻擊者的工具

第三季度出現(xiàn)了不少夾帶藏有病毒的UDF鏡像文件附件。UDF鏡像文件原是用于光盤備份、刻錄前暫存、準(zhǔn)備或大量復(fù)制光盤之用,其擴(kuò)展名多為.iso、.img等。由于這類鏡像文件有其特定用途,部分的防病毒網(wǎng)關(guān)、防火墻、殺毒軟件會(huì)忽略這類格式文件的大小限制或其內(nèi)容的檢查,因此攻擊者就利用此缺口,將病毒嵌在標(biāo)準(zhǔn)合法的UDF鏡像文件格式內(nèi),以躲過(guò)各種檢查關(guān)卡。

帶有.img附件的鏡像文件病毒郵件

帶有.iso附件的中文內(nèi)容鏡像文件病毒郵件

病毒被嵌在標(biāo)準(zhǔn)的UDF鏡像文件格式內(nèi),這個(gè)鏡像文件其實(shí)是可以被掛載于虛擬光驅(qū)的;也能夠被一般的解壓縮軟件打開而執(zhí)行內(nèi)容,且Microsoft Windows預(yù)設(shè)以檔案總管作為此類鏡像文件的開啟關(guān)聯(lián)程序,十分容易因?yàn)槭占哒`執(zhí)行而中毒。

 

標(biāo)準(zhǔn)的UDF鏡像文件可以被掛載于虛擬光驅(qū),掛載后,里面的可執(zhí)行文件就是病毒的本體

鏡像文件病毒防御建議

設(shè)定顯示被隱藏的擴(kuò)展名;而管理者也要意識(shí)到鏡像文件也可以被運(yùn)用于攻擊,并作為信息安全策略。

域名詐騙再進(jìn)化,提供在線購(gòu)買續(xù)費(fèi),竊取個(gè)人信息運(yùn)用于后續(xù)攻擊

域名詐騙郵件由來(lái)已久,過(guò)去常見(jiàn)的域名詐騙,多半利用純社交工程的手段,以域名已過(guò)期、將遭占用,誘騙收件者回復(fù)后,進(jìn)一步進(jìn)行互動(dòng)與詐騙。這類詐騙郵件提及的域名,有時(shí)是受害單位沒(méi)注冊(cè)過(guò)但非常相似的域名,因此若受害者思慮不周,直接查詢郵件中提及的域名,可能信以為真落入攻擊者的圈套。

過(guò)去常見(jiàn)的域名詐騙樣本

在第三季度出現(xiàn)不少進(jìn)化版的域名詐騙。大致與過(guò)去的域名詐騙內(nèi)容差不多,但是多了可以在線購(gòu)買或續(xù)用域名的鏈接,供受害人點(diǎn)擊。當(dāng)受害人信以為真并點(diǎn)擊后,則會(huì)連到釣魚網(wǎng)站,并要受害人填寫詳細(xì)的個(gè)人資料,攻擊者得手后便可做后續(xù)的身份冒用或入侵受害者所使用的各種網(wǎng)絡(luò)服務(wù)。

域名詐騙郵件多了可以在線購(gòu)買或續(xù)用域名的鏈接

看似真的域名購(gòu)買的釣魚網(wǎng)站

主要用以騙取受害者個(gè)人信息,以進(jìn)行后續(xù)身份冒用等攻擊

域名詐騙防御建議:

域名的注冊(cè)、管理,應(yīng)有固定的管理人員與監(jiān)控流程;若真的需要購(gòu)買、續(xù)用域名,應(yīng)主動(dòng)尋訪合適的合作廠商協(xié)助,而非照著可疑郵件的指示進(jìn)行。

總結(jié)

曾經(jīng)暴露在外的電子郵箱,經(jīng)網(wǎng)絡(luò)爬蟲收錄之后,天天都收到許多廣告與攻擊郵件,幾乎難以有洗白的一天,這種情況持續(xù)了多年,雖然大家對(duì)于郵件地址不隨意暴露在公開的網(wǎng)頁(yè)開始有了認(rèn)知,但暴露在外的文件內(nèi)帶有電子郵箱的情況仍然不少,這值得注意。此外,各種信息安全事件,慢慢地都不是獨(dú)立存在了,只要曾經(jīng)發(fā)生過(guò)入侵,或是個(gè)人、企業(yè)單位的數(shù)據(jù)曾經(jīng)被外泄,接踵而來(lái)的就是一次又一次BEC攻擊,或是收不完的網(wǎng)絡(luò)釣魚郵件。電子郵件的攻擊手段不斷推陳出新,雖然少有橫空出世新的攻擊手法,但通過(guò)“利用”、“鏈接”、“交錯(cuò)”將舊的攻擊手段緩慢持續(xù)演進(jìn),卻是從未停止過(guò)的!

關(guān)于ASRC垃圾訊息研究中心

ASRC垃圾訊息研究中心(Asia Spam-message Research Center),長(zhǎng)期與守內(nèi)安合作,致力于全球垃圾郵件、惡意郵件、網(wǎng)絡(luò)攻擊事件等相關(guān)研究事宜,并運(yùn)用相關(guān)數(shù)據(jù)統(tǒng)計(jì)、調(diào)查、趨勢(shì)分析、學(xué)術(shù)研究、跨業(yè)交流、研討活動(dòng)等方式,促成產(chǎn)官學(xué)界共同致力于凈化因特網(wǎng)之電子郵件使用環(huán)境。 

關(guān)于守內(nèi)安

守內(nèi)安信息科技(上海)有限公司(以下簡(jiǎn)稱“守內(nèi)安”),是上海市政府及國(guó)家獎(jiǎng)勵(lì)支持的自主研發(fā)高科技創(chuàng)新的“雙軟認(rèn)定企業(yè)”和“高新技術(shù)企業(yè)”,鉆研郵件風(fēng)險(xiǎn)管理和信息安全內(nèi)控管理。以電子郵件安全管理為核心,研發(fā)了一系列“電郵安全與合規(guī)”為中心的核心產(chǎn)品線,衍生到威脅防御與聯(lián)合防御體系。守內(nèi)安十幾年來(lái)秉承“以客為尊”的服務(wù)理念,樹立了“服務(wù)•品質(zhì)•值得信賴”的品牌理念,目前已擁有7000+家全球性企業(yè)級(jí)用戶,終端用戶達(dá)80,000,000+人次。

守內(nèi)安受到廣大客戶認(rèn)可的端口25郵件安全生態(tài)防御明星產(chǎn)品:

1.SPAM SQR:防垃圾郵件過(guò)濾系統(tǒng)-提供勒索、APT及商業(yè)郵件詐騙等惡意郵件的防御。

2.MSE:電子郵件過(guò)濾審批系統(tǒng)-郵件事先過(guò)濾審批策略,防止數(shù)據(jù)通過(guò)郵件外泄(DLP)。

3.MAE:電子郵件歸檔審計(jì)系統(tǒng)-事后快速調(diào)閱,審計(jì)舉證與合規(guī)性。

4.Mail SOC:提供郵件巡航與RBL等偵測(cè)服務(wù)。

5.SMRS:外發(fā)郵件不通轉(zhuǎn)發(fā)安全中繼平臺(tái)服務(wù)。

THEEND

本月熱門