釣魚郵件翻倍！2021年Q4企業郵箱安全報告出爐！

速來關注！

CACTER郵件安全聯合中睿天下釋出

《2021年Q4企業郵箱安全報告》

年關將至，企業郵箱安全呈現出何種態勢？

12月頻繁出現的病毒郵件攻擊以及詐騙郵件層出不窮，又該如何提升員工的防範意識？

下拉查收您的專屬郵箱安全報告！

一、Q4垃圾郵件巨集觀態勢

根據CAC郵件安全大資料中心統計， 2021年Q4季度中，垃圾郵件佔比來源53.71%。

超過4.08億封垃圾郵件來自境外， 境內垃圾郵件來源則佔46.29%，超過3.5億封。

二、Q4 釣魚郵件巨集觀態勢

2021年第四季度的釣魚郵件數量環比增長3.6%，季度增幅不大。

但是 釣魚郵件總量同比去年同期增長95.43%，郵件安全威脅的形勢不容樂觀。

以上資料均來自CAC郵件安全大資料中心。

三、Q4郵件安全資料解讀

1. Emotet病毒郵件攻擊案例詳解

11-12月偵測到大規模Emotet病毒郵件攻擊。

攻擊者傳送帶巨集病毒附件的惡意郵件， 受害者開啟附件後計算機會被木馬感染，其歷史郵件、郵件通訊錄資訊洩露。

得到使用者的歷史郵件及通訊錄等敏感資訊後，攻擊者再利用歷史郵件資訊構造更多的惡意郵件，通過殭屍網路傳送大量的惡意郵件給域內使用者，嚴重影響正常辦公。

攻擊者使用殭屍網路投遞惡意郵件，使使用者伺服器在短時間內收到巨量惡意郵件，綜合而言，此次Emotet病毒郵件攻擊有以下幾個特點：

(1) 資訊攻擊者利用歷史郵件收發關係構造病毒郵件，部分郵件使用了歷史郵件正文，目的是獲取收件人的信任關係。

(2) 使用了大量殭屍賬號、攻擊IP資源，實現了發信賬號、攻擊IP的高頻率切換，目的是繞過反釣魚的IP限制機制。

(3) 病毒樣本為巨集病毒，進行了免殺處理。部分郵件通過下載連結、加密壓縮等形式進一步加強免殺，目的是繞過當前反病毒的特徵查殺。

(4) 病毒釋放的檔案為下載器，下載的攻擊載荷疑似具有遠控功能。

根據以上的攻擊規模、手法可以判斷，此次emotet是一次大規模病的毒郵件攻擊，攻擊範圍廣泛，Coremail的多個客戶遭受到攻擊。

經過病毒溯源，此次攻擊發起者可能為TA551組織。

(5)  目前CAC雲安全中心通過新增郵件特徵規則、設定yara二進位制特徵識別規則、部署奇安信防毒引擎並持續向奇安信反饋樣本，針對性加強攔截能力。

2.簡單命令式樣回覆賬密的釣魚郵件依然奏效

如上圖所示，此案件呈現出以下特徵：

此釣魚郵件設計地非常粗糙， 攻擊者仿冒為郵件管理員，簡單粗暴命令要求使用者回覆賬號密碼。

儘管十分可疑，但未接受過反釣魚演練， 意識防護低的使用者無法察覺，仍會有使用者如實進行回覆。

此釣魚郵件還呈現出以下特點：

（1）攻擊者使用的發信人與最後需要使用者回覆的郵箱明顯不一致。

發件人為admin的偽造使用者，無法正常用於郵件互動。而最後需要使用者回覆的郵箱則為foxmail個人郵箱，用於蒐集資訊。攻擊者使用這類免費的個人郵箱，會導致溯源工作難度增大。

（2）根據郵件內容，它規避了反釣魚常用的URL連結檢查和附件程式碼檢查，僅使用文字進行釣魚，增加了反釣魚的檢測難度。

（3）基於以上兩點可以判斷，攻擊者使用 特製的純文字郵件用於誘導使用者回覆，反釣魚只能通過 文字指紋技術去檢測，若再次收到此類釣魚郵件，可反饋給反釣魚廠商，用於提升釣魚郵件文字指紋庫的資料質量。

四、Q4深度溯源案例

1. 概述

Q4季度，中睿天下通過睿眼分析監控到新型繞過釣魚郵件，通過雲檢測平臺不完全統計，在各大基礎設施單位共發起過 萬次該郵件的url檢測請求，目前還在持續增加中。

此郵件通過登入已失陷的賬戶，偽造From欄位為電信的通知賬戶，讓收件人以為該郵件是來自電信傳送的驗證賬戶的通知郵件，以此來誘騙收件人點選正文中的釣魚連結，正文通過文字混淆的方式來繞過閘道器的檢測。

連結訪問後會獲取當前使用者的IP地址，攻擊者以此來判斷郵箱是否存活。釣魚連結為安全系統的登入頁面，誘使使用者輸入賬戶密碼以及經常登入地點。

2. 攻擊手法分析

該攻擊手法通過在正文中插入大量的混淆字型，並且通過將混淆字型大小font-size設定為0，使閘道器等裝置能識別，郵件正文不顯示，且只有通過十六進位制轉文字字串才能還原郵件正文，目前能繞過市面上大部分郵件閘道器。

將=符號去掉後即可轉換

圖-轉換為文字結果

3. 郵件發件IP分析

對多封惡意郵件原始碼分析，發現多個發件IP為49.85.233.229、49.84.233.227、221.225.117.169，180.107.4.66對以上IP進行分析發現均為代理秒撥，判斷該組織使用代理池對多個單位批量傳送釣魚郵件。

4. 釣魚網址分析

通過使用者點選正文的確認連結，跳轉到網址[ mailsystemsafe.com ]，該網址為釣魚網站，模仿安全系統登入頁面。

主要目的誘騙使用者的賬戶密碼，目前該組織所有釣魚網址反查IP均為43.155.117.247，154.23.134.86，釣魚網址為 mailsystemsecure.com 、 mailsystemsafe.com 。

該組織一個域名只使用1-2天就更換，難以通過威脅情報分析url。

5. 分析結果

該攻擊郵件正文進行混淆，域名更換較為頻繁，繞過方式新穎。

郵件頭分析發件IP均為國內江蘇省IP，ipip打上的標籤均為代理秒撥，釣魚域名為godaddy購買，前期釣魚域名繫結IP為43.155.117.247，騰訊雲的VPS；近期發現釣魚域名繫結IP為154.23.134.86，Cogent的VPS。

該組織前期使用VPS為騰訊雲的，後期更換為國外Cogent的VPS，VPS地址均為香港，編碼繞過用的中文， 釣魚目標主要為國內各大基礎設施單位，推斷為國內的黑產組織。