天空衛士安全響應中心郵件安全小組 是成都研發中心的核心部門之一。在日常工作中，對大量樣本進行分析並提取規則，實現對包含垃圾內容、釣魚內容的郵件進行檢測和隔離，從而抵禦對業務電子郵件的入侵，防止釣魚郵件等隱蔽郵件威脅。其成果持續整合到解決方案中，提升垃圾郵件的攔截效率，併為客戶提供及時有效的安全防護。

垃圾郵件的處理能力是郵件安全閘道器能力的重要指標，當前對於垃圾郵件處理，通常採用的標準技術手段有： 黑名單-白名單控制、增加傳送者認證機制、啟用域名金鑰識別郵件標準、啟用訪問列表控制、設定關鍵字過濾和傳送限制等。除此之外，從電子郵件的內容入手進行分析也是重要方向，技術手段包括： 指紋垃圾庫、啟發式垃圾庫等。

為了讓更多人及時瞭解釣魚和垃圾郵件的危害，從本週開始，我們會定期釋出分析報告，選取近期一些具有代表性的垃圾郵件進行分析，展示處理方案，透過這個過程幫助客戶瞭解垃圾郵件等最新動態及可能需要關注的防護要點。

2023年4月第二週

樣本概況

截止2023年4月第二週， 本週垃圾郵件樣本多以釣魚郵件為主，還包括少量推銷類、廣告類郵件。

近日我團隊陸續收到來自不同客戶透過郵箱反饋而來的釣魚郵件樣本，該類郵件是通知客戶下載/檢視電子發票的通知性系統郵件，文字上的特徵無異常。但郵件中的連結透過偽造發票平臺相似地址迷惑使用者，亦或利用第三方資源儲存平臺誘導使用者下載檔案。

根據樣本目的和惡意行為的不同，大致將樣本分為2個型別。

✅ 型別1：

社工釣魚，收集使用者賬戶密碼

詳情如以下圖片所示：

一旦使用者點選了 “下載PDF格式電子文件”後，頁面會跳轉到另外的網頁上，安全團隊立刻判斷出此為釣魚網站，如下圖所示：

它具備一下高危特徵：

頁面風格設計仿冒X豐公司官網，被攻擊者容易放下防備心理輸入使用者名稱和密碼。
電子郵件賬號固定無法更改，且不具備“忘記密碼功能”，不符合正常的賬號登入頁面。
點選該頁面其他按鈕均無頁面響應，不符合正常網頁的常規功能。
網頁地址雖然使用HTTPS協議，安全性較高，但被安全引擎檢出為失陷主機， 如下圖所示：

綜上所述， 可判斷該網站為釣魚網站，該郵件為釣魚郵件。

✅ 型別2：

木馬

詳情如下圖所示：

使用者點選 “點選下載電子版發票”後便會下載一個zip壓縮包，其中包含一個名為 “(電-子-發-票）.exe”的檔案。被多個安全引擎檢測確定為惡意木馬，木馬家族為Farfli。

IOC如下：

該樣本中連結為“h[t][t]p:[/][/]5lfapiao.cn:1322/down/RwarCh8yMepl”，其中5lfapiao中的l為英文字母l，如果使用者不注意的話容易與51發票官網連結混淆。

使用者點選該連結後會下載一個名為 “增值-稅票.rar”的壓縮包，其中包含一個bin檔案和一個exe檔案。經過安全引擎檢測判斷為木馬，木馬家族為Leonem。

IOC如下：

相關處置

✅ 1.身份校驗

1

該類發票郵件多聲稱自己為可信發票平臺或者可信合作商，例如偽造“百望雲發票”、“51發票”、“順豐速運”等身份。啟發式規則對發件人、中繼伺服器、連結等進行檢測，可以檢出這類偽造身份的行為。

✅ 2. 誘導點選行為檢測

啟發式規則對於郵件內容中有誘導收件人點選連結的html文字特徵進行檢測，再配合其他可疑特徵對該類釣魚郵件進行識別。

✅ 3.可疑URL

本週整理出樣本的URL，結合威脅情報作聯動處理，提取相關特徵編寫到啟發式規則中。

部分連結如下：

hxxp://5lfapiao.cn:1322/down/RwarCh8yMepl
hxxp://5lfapiao.com:1322/down/2773TkD0l7xd
hxxps://qsx.pw13.net/wp-content/plugins/kf/sf/details/index.php?i=i&0=xxxx@xxxxxxx.cn
hxxps://api.youkesdt.asia/admin/down/hash/af0752b6-585e-4d7d-a227-61fa4fe99c0d
hxxps://api.youkesdt.asia/admin/down/hash/fc12cc5f-275a-4047-bc9d-3ae71b828d33
hxxps://
hxxp://swqe.sbs/home.html;jsessionid=052DBFAB7D6B1C72D2EAB1FE5C85BB44

提示

謹慎點選來自不明郵箱地址傳送的發票類郵件中的連結！

供稿團隊：

天空衛士安全響應中心郵件安全小組

安全響應中心 — 垃圾郵件事件報告（4.18）

相關文章