信息化觀察網(wǎng)

與漏洞挖掘利用或各種偽裝及滲透相比，釣魚(yú)郵件因其成功率高、操作簡(jiǎn)單成為了攻防演練中最常見(jiàn)的攻擊方式之一。

這也與現(xiàn)實(shí)的網(wǎng)絡(luò)安全情況相吻合。

2020年Verizon數(shù)據(jù)泄露調(diào)查報(bào)告（DBIR）發(fā)現(xiàn)，惡意電子郵件附件是數(shù)據(jù)泄露和勒索軟件攻擊的主要原因。統(tǒng)計(jì)發(fā)現(xiàn)40%的攻擊都使用的是電子郵件鏈接，電子郵件鏈接成為了最常用的感染載體。

那么該如何防范郵件釣魚(yú)呢？

最有效的辦法是在攻防演習(xí)前以及日常工作中進(jìn)行不定期式的反釣魚(yú)演練，通過(guò)仿真訓(xùn)練提升全員的安全防范意識(shí)，降低企業(yè)信息泄露的風(fēng)險(xiǎn)。

在最近一次長(zhǎng)達(dá)半個(gè)月的大型攻防演練中，CAC云安全中心通過(guò)發(fā)信行為分析、郵件內(nèi)容特征檢測(cè)、惡意URL檢測(cè)、附件檢測(cè)等多種方式，主動(dòng)發(fā)現(xiàn)并處理了16起惡意郵件攻擊。

盡管網(wǎng)傳了不少紅隊(duì)（攻擊方）氣勢(shì)洶洶要把藍(lán)隊(duì)（防守方）的“內(nèi)網(wǎng)打穿”的段子，但演習(xí)結(jié)束后，CAC云安全中心總結(jié)發(fā)現(xiàn)惡意郵件的攻擊套路基本大同小異，下邊就以一個(gè)典型案例來(lái)給大家復(fù)盤(pán)一下釣魚(yú)郵件的典型特征，以供參考。

01攻防復(fù)盤(pán)：冒充管理員群發(fā)釣魚(yú)郵件

2021年4月12日，CAC云安全中心在例行的巡查工作中，發(fā)現(xiàn)了一例疑似針對(duì)某單位的惡意攻擊行為。

攻擊者試圖以個(gè)人郵箱冒充公司“技術(shù)管理部”，要求用戶打開(kāi)加密帶毒附件。該單位共21名用戶收到主題為“【技術(shù)管理部-緊急通知】關(guān)于自檢工作電腦漏洞的提示通知”的惡意郵件，附件為“自檢工具.Zip”，后經(jīng)驗(yàn)證該附件實(shí)際為后門(mén)病毒。

如上圖所示，釣魚(yú)郵件特征相當(dāng)明顯。

1、個(gè)人郵箱賬號(hào)仿冒，贏取信任。發(fā)件人假裝企業(yè)“技術(shù)管理部-緊急通知”，且郵件內(nèi)容措辭正式。通過(guò)身份偽裝，使受害者卸下心防，更容易達(dá)成攻擊的目的。

2、反常的加密附件，躲避防病毒查殺。郵件內(nèi)容為下載加密的“自檢工具”檢查電腦漏洞，并非金融、賬務(wù)、內(nèi)部機(jī)密等敏感文件，卻進(jìn)行加密傳輸，且密碼附在郵件原文中，這不符合加密的邏輯。

釣魚(yú)郵件示例

小tip：為什么附件加密壓縮可以繞過(guò)防病毒檢測(cè)呢？事實(shí)上，只要對(duì)附件進(jìn)行了加密與壓縮，任何的防病毒檢測(cè)工具便失效了，因?yàn)槠錈o(wú)法探測(cè)到加密文件的內(nèi)部情況。而攻擊者還會(huì)通過(guò)惡意附件類型仿冒（.docx.exe）、利用空格延長(zhǎng)惡意附件文件名等手段，進(jìn)行惡意附件的免殺處理，“巧妙”繞過(guò)各類反病毒、云沙箱等殺毒產(chǎn)品的防線。

3、輪換發(fā)信人發(fā)信。該主題郵件發(fā)送了12封，輪換4個(gè)不同的個(gè)人郵箱賬號(hào)發(fā)送，發(fā)給同一域名的收信人。除第一封郵件為攻擊隊(duì)測(cè)試郵件外，其余郵件內(nèi)容、主題、fromname都一致。

4、發(fā)信方非常謹(jǐn)慎。發(fā)信方在短時(shí)間內(nèi)持續(xù)發(fā)送了11封郵件，但在CAC云安全中心攔截該主題郵件后，對(duì)方立馬察覺(jué)并停止發(fā)送郵件。

5、所有郵件的發(fā)信IP均為境外的代理節(jié)點(diǎn)IP。

6、第一封郵件收信方已被盜號(hào)。該賬號(hào)今年內(nèi)僅接收10封郵件，且均為垃圾郵件，4月8日前無(wú)發(fā)信記錄，但在4月9日發(fā)送2封可疑郵件，經(jīng)安全專家分析確認(rèn)該賬號(hào)已被盜號(hào)，密碼、通訊等敏感信息被泄露。

02附件主題：夸張?bào)@悚引誘點(diǎn)擊

不得不說(shuō)，雖然利用加密壓縮進(jìn)行免殺的手法較為常見(jiàn)，但命中率高，用戶點(diǎn)擊可能性大。

同樣的情況也發(fā)生在某國(guó)有集團(tuán)身上，2021年4月9日，某國(guó)有集團(tuán)就收到了一封主題為“投訴關(guān)于**拖欠民工工資的事情！！”的惡意附件郵件，惡意附件為“拖欠民工工資線索整理.zip”。

幸運(yùn)的是，從后續(xù)監(jiān)控的結(jié)果來(lái)看暫未發(fā)現(xiàn)有賬號(hào)被盜的情況。

演練期間，可以看出紅方攻擊在郵件主題方面確實(shí)絞盡腦汁。

郵件主題從煽動(dòng)信息到求職舉報(bào)，再到漏洞自檢、放假安排。深諳網(wǎng)絡(luò)爆款十萬(wàn)+文章的蹭熱點(diǎn)精髓，就業(yè)再上崗轉(zhuǎn)戰(zhàn)新媒體也未嘗不可。

03安全建議：建立應(yīng)急響應(yīng)機(jī)制，提升安全意識(shí)

從上述復(fù)盤(pán)可以看出釣魚(yú)郵件的攻防是一個(gè)持久而富有挑戰(zhàn)的過(guò)程，我們?cè)诖藢?duì)廣大郵件系統(tǒng)用戶提出以下安全建議：

1、部署安全有效的郵件安全網(wǎng)關(guān)或云服務(wù)，提升郵件內(nèi)容安全防護(hù)

2、企業(yè)應(yīng)建立快速的安全應(yīng)急響應(yīng)機(jī)制，發(fā)現(xiàn)惡意郵件批量投遞成功等事件，應(yīng)及時(shí)刪除惡意郵件，并對(duì)受影響賬號(hào)快速進(jìn)行處置

3、長(zhǎng)期堅(jiān)持安全意識(shí)培訓(xùn)和有計(jì)劃的反釣魚(yú)演練，提高員工安全意識(shí)