2022重保進行時，Coremail作為中國頭部郵件系統廠商，23年來的深耕經驗得到各廣大政企的信任，市場佔有率高。

這也使得Coremail成為重保演練中，攻擊隊的重點攻擊物件。

紅隊企圖使用釣魚郵件作為攻擊手段，控制使用者辦公電腦，獲取內網的各種登入賬號和密碼，進而得到辦公網或者生產網的有用資料。

目前進行的攻防演練中，CAC郵件安全大資料中心（以下簡稱“CAC大資料中心”）透過客戶反饋、發信行為分析、郵件內容特徵檢測、惡意URL檢測、附件檢測等多種方式，主動發現並處理了多起惡意郵件攻擊。

總體攻擊套路大同小異，典型案例分析如下，供各客戶參考。

案例1► 域名仿冒：仿冒安全部門要求員工自查

演練第一天，CAC大資料中心在例行的巡查工作中，發現了一例疑似針對某單位的惡意攻擊行為。

如上圖所示，攻擊者冒充安全部門傳送演練通知，

使用疑似失陷使用者的企業郵箱，仿冒“集團安全中心”域名發郵件至公司使用者。

郵件內容偽造內部的安全檢查通知，附帶一個加密壓縮的附件，卻在正文中展現解壓密碼。

根據Coremail合作伙伴-奇安信反病毒廠商驗證，該壓縮的文件【XX盾衛士】內含木馬病毒。

攻擊鏈分析如下

附件：

X盾衛士.exe bdcbeac76cf340e2f1e95d33a8ab2669

ip為：49.234.243.251:443

樣本是一個CS loader，會將加密得cs 程式碼解密並執行

Cs beacon會請求如下的雲函式進行上線，樣本到這裡就分析完畢了。

如果是惡意的cs樣本，設定後門上線後會被攻擊者控制，可以執行多種惡意操作

案例2► 發信人名稱仿冒：主題人事部【安全承諾書】

如上圖所示，攻擊者冒充HR傳送通知，攻擊者使用了【1X9個人郵箱】，只修改了信頭的From資訊來冒充人力行政部門傳送責任承諾書的釣魚郵件

郵件內容是正常的內部通知文字，附件攜帶一個無加密的zip壓縮檔案，壓縮的文件是木馬病毒。

根據奇安信分析，該附件樣本是利用快捷方式呼叫cmd去執行隱藏資料夾下惡意樣本這種方式的惡意樣本。

兩個快捷方式：關於簽署2022年度《案防合規責任承諾書》的通知.lnk 執行DS_Stores.bat

2022年度案防合規責任承諾書（員工）.lnk 執行 DS_Stores.bat

bat指令碼會複製下圖中對應的tmp檔案到系統%temp%路徑下，並重新命名為sihost.exe。

sihosts.exe然後執行，同時執行用於偽裝的docx和pdf文件，刪除對應的快捷方式

以上相關黑樣本資訊如下，奇安信雲查都已置黑，引擎已新增特徵：

wda.tmp/wdas.tmp  74f9d36041f0b0834e730b26356b9be7
DS_Store.bat 10ffb5f3b042e48a5668b08145fe5d03
DS_Stores.bat c77d2a492a51e5713559ae44de93da6d

案例3► 二級域名仿冒：主題：人事部【調薪通知】

如上圖所示，冒充HR傳送通知，攻擊者進行了二級域名仿冒，用以傳送釣魚郵件。

值得注意的是，該公司郵件通訊錄疑似洩露，該郵件抄送了多個部門。

郵件內容是正常的內部通知文字，同樣附帶了一個加密壓縮的附件，壓縮的文件是木馬病毒,攻擊方式是欺騙使用者開啟壓縮包執行其中的文字，達到入侵或遠控的目的。

木馬病毒郵件典型特徵

綜上所述，三個主題的釣魚郵件攻擊手法都是一致的，使用加密或非加密的附件以繞過郵件廠商的反垃圾、反釣魚、反病毒檢測。

使用者一旦點選後則會執行木馬病毒，如果是惡意的cs樣本，設定後門上線後會使用者端電腦會被攻擊者控制，一旦被遠控，後果不堪設想。

1、收到以上特徵的可疑郵件，建議用其他社交方式與發信人取得聯絡，若確認為病毒郵件，則立刻上報公司安全部門

2、此類加密壓縮的檔案，如果您一定要開啟，建議放到虛擬機器的測試環境（斷網）開啟。

3、為了能將病毒郵件與正常郵件行為有所區分，建議日常傳送加密壓縮附件時，應該以其他手段將密碼通知收件人，而不是放在正文。

4、若不小心點選了附件，建議馬上切斷中招PC的網路，並馬上聯絡安全部門清理上網環境。

5、個人PC安裝防毒軟體，並保持更新。

6、使用CACTER郵件安全閘道器提升防禦機制。