釣魚郵件翻倍!2021年Q4企業郵箱安全報告出爐!

CACTER 發表於 2022-01-24
釣魚郵件翻倍!2021年Q4企業郵箱安全報告出爐!

速來關注!

CACTER郵件安全聯合中睿天下釋出

《2021年Q4企業郵箱安全報告》

年關將至,企業郵箱安全呈現出何種態勢?

12月頻繁出現的病毒郵件攻擊以及詐騙郵件層出不窮,又該如何提升員工的防範意識?

下拉查收您的專屬郵箱安全報告!

一、Q4垃圾郵件巨集觀態勢

釣魚郵件翻倍!2021年Q4企業郵箱安全報告出爐! 釣魚郵件翻倍!2021年Q4企業郵箱安全報告出爐!


根據CAC郵件安全大資料中心統計, 2021年Q4季度中,垃圾郵件佔比來源53.71%。

超過4.08億封垃圾郵件來自境外境內垃圾郵件來源則佔46.29%,超過3.5億封。

二、Q4 釣魚郵件巨集觀態勢

釣魚郵件翻倍!2021年Q4企業郵箱安全報告出爐!


釣魚郵件翻倍!2021年Q4企業郵箱安全報告出爐!

2021年第四季度的釣魚郵件數量環比增長3.6%,季度增幅不大。

但是 釣魚郵件總量同比去年同期增長95.43%,郵件安全威脅的形勢不容樂觀。

以上資料均來自CAC郵件安全大資料中心。

三、Q4郵件安全資料解讀

1. Emotet病毒郵件攻擊案例詳解

釣魚郵件翻倍!2021年Q4企業郵箱安全報告出爐!帶巨集病毒附件的惡意郵件

11-12月偵測到大規模Emotet病毒郵件攻擊。

攻擊者傳送帶巨集病毒附件的惡意郵件, 受害者開啟附件後計算機會被木馬感染,其歷史郵件、郵件通訊錄資訊洩露。

釣魚郵件翻倍!2021年Q4企業郵箱安全報告出爐!利用歷史資訊構造的惡意郵件

得到使用者的歷史郵件及通訊錄等敏感資訊後,攻擊者再利用歷史郵件資訊構造更多的惡意郵件,通過殭屍網路傳送大量的惡意郵件給域內使用者,嚴重影響正常辦公。

攻擊者使用殭屍網路投遞惡意郵件,使使用者伺服器在短時間內收到巨量惡意郵件,綜合而言,此次Emotet病毒郵件攻擊有以下幾個特點:

(1) 資訊攻擊者利用歷史郵件收發關係構造病毒郵件,部分郵件使用了歷史郵件正文,目的是獲取收件人的信任關係。

(2) 使用了大量殭屍賬號、攻擊IP資源,實現了發信賬號、攻擊IP的高頻率切換,目的是繞過反釣魚的IP限制機制。

(3) 病毒樣本為巨集病毒,進行了免殺處理。部分郵件通過下載連結、加密壓縮等形式進一步加強免殺,目的是繞過當前反病毒的特徵查殺。

(4) 病毒釋放的檔案為下載器,下載的攻擊載荷疑似具有遠控功能。

根據以上的攻擊規模、手法可以判斷,此次emotet是一次大規模病的毒郵件攻擊,攻擊範圍廣泛,Coremail的多個客戶遭受到攻擊。

經過病毒溯源,此次攻擊發起者可能為TA551組織。

(5)  目前CAC雲安全中心通過新增郵件特徵規則、設定yara二進位制特徵識別規則、部署奇安信防毒引擎並持續向奇安信反饋樣本,針對性加強攔截能力。

2.簡單命令式樣回覆賬密的釣魚郵件依然奏效

釣魚郵件翻倍!2021年Q4企業郵箱安全報告出爐!

如上圖所示,此案件呈現出以下特徵:

此釣魚郵件設計地非常粗糙, 攻擊者仿冒為郵件管理員,簡單粗暴命令要求使用者回覆賬號密碼。

儘管十分可疑,但未接受過反釣魚演練, 意識防護低的使用者無法察覺,仍會有使用者如實進行回覆。

此釣魚郵件還呈現出以下特點:

(1)攻擊者使用的發信人與最後需要使用者回覆的郵箱明顯不一致。

發件人為admin的偽造使用者,無法正常用於郵件互動。而最後需要使用者回覆的郵箱則為foxmail個人郵箱,用於蒐集資訊。攻擊者使用這類免費的個人郵箱,會導致溯源工作難度增大。


(2)根據郵件內容,它規避了反釣魚常用的URL連結檢查和附件程式碼檢查,僅使用文字進行釣魚,增加了反釣魚的檢測難度。


(3)基於以上兩點可以判斷,攻擊者使用 特製的純文字郵件用於誘導使用者回覆,反釣魚只能通過 文字指紋技術去檢測,若再次收到此類釣魚郵件,可反饋給反釣魚廠商,用於提升釣魚郵件文字指紋庫的資料質量。


四、Q4深度溯源案例

1. 概述

Q4季度,中睿天下通過睿眼分析監控到新型繞過釣魚郵件,通過雲檢測平臺不完全統計,在各大基礎設施單位共發起過 萬次該郵件的url檢測請求,目前還在持續增加中。

此郵件通過登入已失陷的賬戶,偽造From欄位為電信的通知賬戶,讓收件人以為該郵件是來自電信傳送的驗證賬戶的通知郵件,以此來誘騙收件人點選正文中的釣魚連結,正文通過文字混淆的方式來繞過閘道器的檢測。

連結訪問後會獲取當前使用者的IP地址,攻擊者以此來判斷郵箱是否存活。釣魚連結為安全系統的登入頁面,誘使使用者輸入賬戶密碼以及經常登入地點。

釣魚郵件翻倍!2021年Q4企業郵箱安全報告出爐!

2. 攻擊手法分析

該攻擊手法通過在正文中插入大量的混淆字型,並且通過將混淆字型大小font-size設定為0,使閘道器等裝置能識別,郵件正文不顯示,且只有通過十六進位制轉文字字串才能還原郵件正文,目前能繞過市面上大部分郵件閘道器。

釣魚郵件翻倍!2021年Q4企業郵箱安全報告出爐!圖-十六進位制原始碼分析

將=符號去掉後即可轉換

釣魚郵件翻倍!2021年Q4企業郵箱安全報告出爐!

圖-轉換為文字結果

3. 郵件發件IP分析

對多封惡意郵件原始碼分析,發現多個發件IP為49.85.233.229、49.84.233.227、221.225.117.169,180.107.4.66對以上IP進行分析發現均為代理秒撥,判斷該組織使用代理池對多個單位批量傳送釣魚郵件。


釣魚郵件翻倍!2021年Q4企業郵箱安全報告出爐!圖-IP分析結果

4. 釣魚網址分析

通過使用者點選正文的確認連結,跳轉到網址[ mailsystemsafe.com ],該網址為釣魚網站,模仿安全系統登入頁面。

主要目的誘騙使用者的賬戶密碼,目前該組織所有釣魚網址反查IP均為43.155.117.247,154.23.134.86,釣魚網址為 mailsystemsecure.com mailsystemsafe.com

該組織一個域名只使用1-2天就更換,難以通過威脅情報分析url。

釣魚郵件翻倍!2021年Q4企業郵箱安全報告出爐!

5. 分析結果

該攻擊郵件正文進行混淆,域名更換較為頻繁,繞過方式新穎。

郵件頭分析發件IP均為國內江蘇省IP,ipip打上的標籤均為代理秒撥,釣魚域名為godaddy購買,前期釣魚域名繫結IP為43.155.117.247,騰訊雲的VPS;近期發現釣魚域名繫結IP為154.23.134.86,Cogent的VPS。

該組織前期使用VPS為騰訊雲的,後期更換為國外Cogent的VPS,VPS地址均為香港,編碼繞過用的中文, 釣魚目標主要為國內各大基礎設施單位,推斷為國內的黑產組織。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69999973/viewspace-2853817/,如需轉載,請註明出處,否則將追究法律責任。