攻防總結：某大型攻防演練中紅隊釣魚郵件攻擊手法覆盤

 

與漏洞挖掘利用或各種偽裝及滲透相比，釣魚郵件因其成功率高、操作簡單成為了攻防演練中最常見的攻擊方式之一。

這也與現實的網路安全情況相吻合。

2020年Verizon資料洩露調查報告（DBIR）發現，惡意電子郵件附件是資料洩露和勒索軟體攻擊的主要原因。統計發現40%的攻擊都使用的是電子郵件連結，電子郵件連結成為了最常用的感染載體。

 

 

那麼該如何防範郵件釣魚呢？

 

最有效的辦法是在攻防演習前以及 日常工作中進行不定期式的反釣魚演練 ，透過模擬訓練提升全員的安全防範意識，降低企業資訊洩露的風險。

 

在最近一次長達半個月的大型攻防演練中，CAC雲安全中心透過發信行為分析、郵件內容特徵檢測、惡意URL檢測、附件檢測等多種方式， 主動發現並處理了16起惡意郵件攻擊。

 

儘管網傳了不少紅隊（攻擊方）氣勢洶洶要把藍隊（防守方）的“內網打穿”的段子，但演習結束後，CAC雲安全中心總結發現惡意郵件的攻擊套路基本大同小異，下邊就以一個典型案例來給大家覆盤一下釣魚郵件的典型特徵，以供參考。

 

 

01 攻防覆盤：冒充管理員 傳送 釣魚郵件

 

2021年4月12日，CAC雲安全中心在例行的巡查工作中，發現了一例疑似針對某單位的惡意攻擊行為。

 

攻擊者試圖以個人郵箱冒充公司“技術管理部”，要求使用者開啟加密帶毒附件。該單位共21名使用者收到主題為 “【技術管理部-緊急通知】關於自檢工作電腦漏洞的提示通知 ” 的惡意郵件，附件為“自檢工具.Zip”，後經驗證該附件 實際為後門病毒。

 

 

如上圖所示，釣魚郵件特徵相當明顯。

 

1、個人郵箱賬號仿冒，贏取信任。 發件人假裝企業“技術管理部-緊急通知”，且郵件內容措辭正式。透過身份偽裝，使受害者卸下心防，更容易達成攻擊的目的。

2、反常的加密附件，躲避防病毒查殺。 郵件內容為下載加密的“自檢工具”檢查電腦漏洞，並非金融、賬務、內部機密等敏感檔案，卻進行加密傳輸，且密碼附在郵件原文中，這不符合加密的邏輯。

 

 

釣魚郵件示例

小tip：為什麼附件加密壓縮可以繞過防病毒檢測呢？事實上，只要對附件進行了加密與壓縮，任何的防病毒檢測工具便失效了，因為其無法探測到加密檔案的內部情況。而攻擊者還會透過惡意附件型別仿冒（.docx.exe）、利用空格延長惡意附件檔名等手段，進行惡意附件的免殺處理，“巧妙”繞過各類反病毒、雲沙箱等防毒產品的防線。

3、輪換髮信人發信。 該主題郵件傳送了12封，輪換4個不同的個人郵箱賬號傳送，發給同一域名的收信人。除第一封郵件為攻擊隊測試郵件外，其餘郵件內容、主題、fromname都一致。

 

4、發信方非常謹慎。 發信方在短時間內持續傳送了11封郵件，但在CAC雲安全中心攔截該主題郵件後，對方立馬察覺並停止傳送郵件。

 

5、所有郵件的發信IP均為境外的代理節點IP。

 

 

 

6、第一封郵件收信方已被盜號。 該賬號今年內僅接收10封郵件，且均為垃圾郵件，4月8日前無發信記錄，但在4月9日傳送2封可疑郵件，經安全專家分析確認該賬號已被盜號，密碼、通訊等敏感資訊被洩露。

 

 

02 附件主題：誇張驚悚引誘點選

 

不得不說，雖然利用加密壓縮排行免殺的手法較為常見，但命中率高，使用者點選可能性大。

 

同樣的情況也發生在某國有集團身上，2021年4月9日，某國有集團就收到了一封主題為 “投訴關於**拖欠民工工資的事情！！”的惡意附件郵件，惡意附件為“拖欠民工工資線索整理.zip”。

 

幸運的是，從後續監控的結果來看暫未發現有賬號被盜的情況。

 

 

 

演練期間，可以看出紅方攻擊在郵件主題方面確實絞盡腦汁。

 

郵件主題 從煽動資訊到求職舉報，再到漏洞自檢、放假安排 。深諳網路爆款十萬+文章的蹭熱點精髓，就業再上崗轉戰新媒體也未嘗不可。

 

 

03 安全建議：建立應急響應機制，提升安全意識

 

從上述覆盤可以看出釣魚郵件的攻防是一個持久而富有挑戰的過程，我們在此對廣大郵件系統使用者提出以下安全建議：

 

1、部署安全有效的 郵件安全閘道器或雲服務 ，提升郵件內容安全防護

 

2、企業應建立快速的 安全應急響應機制 ，發現惡意郵件批次投遞成功等事件，應及時刪除惡意郵件，並對受影響賬號快速進行處置

 

3、長期堅持安全意識培訓和有計劃的 反釣魚演練 ，提高員工安全意識