钓鱼邮件翻倍:2021年Q4企业邮箱安全报告出炉
速来关注!
CACTER邮件安全联合中睿天下发布
《2021年Q4企业邮箱安全报告》
年关将至,企业邮箱安全呈现出何种态势?
12月频繁出现的病毒邮件攻击以及诈骗邮件层出不穷,又该如何提升员工的防范意识?
下拉查收您的专属邮箱安全报告!
一、Q4垃圾邮件宏观态势
根据CAC邮件安全大数据中心统计,2021年Q4季度中,垃圾邮件占比来源53.71%。
超过4.08亿封垃圾邮件来自境外,境内垃圾邮件来源则占46.29%,超过3.5亿封。
二、Q4 钓鱼邮件宏观态势
2021年第四季度的钓鱼邮件数量环比增长3.6%,季度增幅不大。
但是钓鱼邮件总量同比去年同期增长95.43%,邮件安全威胁的形势不容乐观。
以上数据均来自CAC邮件安全大数据中心。
三、Q4邮件安全数据解读
1. Emotet病毒邮件攻击案例详解
带宏病毒附件的恶意邮件
11-12月侦测到大规模Emotet病毒邮件攻击。
攻击者发送带宏病毒附件的恶意邮件,受害者打开附件后计算机会被木马感染,其历史邮件、邮件通讯录信息泄露。
利用历史信息构造的恶意邮件
得到用户的历史邮件及通讯录等敏感信息后,攻击者再利用历史邮件信息构造更多的恶意邮件,通过僵尸网络发送大量的恶意邮件给域内用户,严重影响正常办公。
攻击者使用僵尸网络投递恶意邮件,使用户服务器在短时间内收到巨量恶意邮件,综合而言,此次Emotet病毒邮件攻击有以下几个特点:
(1) 信息攻击者利用历史邮件收发关系构造病毒邮件,部分邮件使用了历史邮件正文,目的是获取收件人的信任关系。
(2) 使用了大量僵尸账号、攻击IP资源,实现了发信账号、攻击IP的高频率切换,目的是绕过反钓鱼的IP限制机制。
(3) 病毒样本为宏病毒,进行了免杀处理。部分邮件通过下载链接、加密压缩等形式进一步加强免杀,目的是绕过当前反病毒的特征查杀。
(4) 病毒释放的文件为下载器,下载的攻击载荷疑似具有远控功能。
根据以上的攻击规模、手法可以判断,此次emotet是一次大规模病的毒邮件攻击,攻击范围广泛,Coremail的多个客户遭受到攻击。
经过病毒溯源,此次攻击发起者可能为TA551组织。
(5) 目前CAC云安全中心通过添加邮件特征规则、设置yara二进制特征识别规则、部署奇安信杀毒引擎并持续向奇安信反馈样本,针对性加强拦截能力。
2.简单命令式样回复账密的钓鱼邮件依然奏效
如上图所示,此案件呈现出以下特征:
此钓鱼邮件设计地非常粗糙,攻击者仿冒为邮件管理员,简单粗暴命令要求用户回复账号密码。
尽管十分可疑,但未接受过反钓鱼演练,意识防护低的用户无法察觉,仍会有用户如实进行回复。
此钓鱼邮件还呈现出以下特点:
(1)攻击者使用的发信人与最后需要用户回复的邮箱明显不一致。
发件人为admin的伪造用户,无法正常用于邮件交互。而最后需要用户回复的邮箱则为foxmail个人邮箱,用于搜集信息。攻击者使用这类免费的个人邮箱,会导致溯源工作难度增大。
(2)根据邮件内容,它规避了反钓鱼常用的URL链接检查和附件代码检查,仅使用文本进行钓鱼,增加了反钓鱼的检测难度。
(3)基于以上两点可以判断,攻击者使用特制的纯文本邮件用于诱导用户回复,反钓鱼只能通过文本指纹技术去检测,若再次收到此类钓鱼邮件,可反馈给反钓鱼厂商,用于提升钓鱼邮件文本指纹库的数据质量。
四、Q4深度溯源案例
1. 概述
Q4季度,中睿天下通过睿眼分析监控到新型绕过钓鱼邮件,通过云检测平台不完全统计,在各大基础设施单位共发起过万次该邮件的url检测请求,目前还在持续增加中。
此邮件通过登录已失陷的账户,伪造From字段为电信的通知账户,让收件人以为该邮件是来自电信发送的验证账户的通知邮件,以此来诱骗收件人点击正文中的钓鱼链接,正文通过文本混淆的方式来绕过网关的检测。
链接访问后会获取当前用户的IP地址,攻击者以此来判断邮箱是否存活。钓鱼链接为安全系统的登录页面,诱使用户输入账户密码以及经常登录地点。
2. 攻击手法分析
该攻击手法通过在正文中插入大量的混淆字体,并且通过将混淆字体大小font-size设置为0,使网关等设备能识别,邮件正文不显示,且只有通过十六进制转文本字符串才能还原邮件正文,目前能绕过市面上大部分邮件网关。
图-十六进制源码分析
将=符号去掉后即可转换
图-转换为文本结果
3. 邮件发件IP分析
对多封恶意邮件源码分析,发现多个发件IP为49.85.233.229、49.84.233.227、221.225.117.169,180.107.4.66对以上IP进行分析发现均为代理秒拨,判断该组织使用代理池对多个单位批量发送钓鱼邮件。
图-IP分析结果
4. 钓鱼网址分析
通过用户点击正文的确认链接,跳转到网址[http://www.mailsystemsafe.com],该网址为钓鱼网站,模仿安全系统登录页面。
主要目的诱骗用户的账户密码,目前该组织所有钓鱼网址反查IP均为43.155.117.247,154.23.134.86,钓鱼网址为http://www.mailsystemsecure.com、http://www.mailsystemsafe.com。
该组织一个域名只使用1-2天就更换,难以通过威胁情报分析url。
5. 分析结果
该攻击邮件正文进行混淆,域名更换较为频繁,绕过方式新颖。
邮件头分析发件IP均为国内江苏省IP,ipip打上的标签均为代理秒拨,钓鱼域名为godaddy购买,前期钓鱼域名绑定IP为43.155.117.247,腾讯云的VPS;近期发现钓鱼域名绑定IP为154.23.134.86,Cogent的VPS。
该组织前期使用VPS为腾讯云的,后期更换为国外Cogent的VPS,VPS地址均为香港,编码绕过用的中文,钓鱼目标主要为国内各大基础设施单位,推断为国内的黑产组织。
钓鱼邮件翻倍:2021年Q4企业邮箱安全报告出炉相关推荐
- 2019网络钓鱼邮件翻倍,如何预防鱼叉式钓鱼邮件攻击?
根据微软数据,与网络钓鱼相关的电子邮件百分比,从2018年9月的0.31%上升至2019年9月的0.62%.微软对2018年每月4700亿封电子邮件的分析发现,网络钓鱼信息增加了250%. 如今,鱼叉 ...
- 2021年第三季度企业邮箱安全报告来了
今天! CACTER邮件安全联合中睿天下发布 <2021年Q3企业邮件安全报告> 在过去的3个月中,企业邮箱安全呈现出何种态势?作为邮件管理员,我们又该如何做好防护? 下拉查收! 您的专属 ...
- 字节跳动工程师收入世界第五,2021年全球程序员收入报告出炉
近日,美国科技公司数据收集网站Levels.fyi发布了2021年全球程序员收入报告,在该报告中,Levels.fyi收集了一整年的数据情况,并根据级别和地点对各公司的薪酬进行了深入分析.报告中的薪酬 ...
- 很酸-2021年全球程序员收入报告出炉
更多内容关注微信公众号:fullstack888 一家全球性质的数据收集网站Levels.fyi发布了<2021年全球程序员收入报告>.这个报告主要针对科技公司级别的程序员的工资进行了统计 ...
- 中睿天下Coremail联合发布《2022年第三季度企业邮箱安全报告》
日前,中睿天下联合CAC邮件安全大数据中心(以下简称CAC中心)发布了<2022年第三季度企业邮箱安全报告>,对当前企业邮箱的应用状况和安全风险进行了分析. 1.垃圾邮件同比下降10.6 ...
- 记一次confluence邮件服务器配置的坑(阿里企业邮箱)
公司想通过confluence自动发送邮件,项目经理搞了半天没搞定,公司服务器是阿里云服务器,有事就甩给我了,按照百度出来的方法试了下(可能大部分方式一,方式二就成功了,方式三可适用于阿里企业邮箱). ...
- 腾讯企业 html邮件模板,python连接腾讯企业邮箱发送html邮件
在工作中难免用到一些自动化的邮件配置,这里用python简单写了一个连接腾讯企业邮箱的脚本邮件代码.备忘下来. # coding=utf-8 import smtplib from email.MIM ...
- foxmail企业邮件服务器,如何用foxmail连接企业邮箱?
(在本例中我们假设您的域名为yourdomain.com,您的邮箱账号是yourname@yourdomain.com) 1,您需要下载一个foxmail软件(免费软件)实现远程连接企业邮箱,下载地址 ...
- 【CV夏季划】2021年有三AI-CV夏季划出炉,冲刺秋招,从CV基础到模型优化彻底掌握...
2021年的有三AI-CV夏季划正式发布,并且这也是最后一届由言有三本人直接带领的夏季划小组,仅限于今年. 有三AI-CV夏季划是言有三直接一对一带领的深度学习和计算机视觉学习计划小组,目标是在新手入 ...
最新文章
- 设备履历管理系统php开源,航空机载设备履历本管理制作系统诞生记
- python视频口碑佳_从万众期待到口碑扑街!用Python来分析一下大家对唐探3的评论...
- android accessibilityservice自动点击_【Android】无障碍服务(一)入门轻踩
- SLAM: Inverse Depth Parametrization for Monocular SALM
- (cljs/run-at (JSVM. :browser) 简单类型可不简单啊~)
- 十大最酷云计算应用程序创业企业
- 对tensorflow中的tensor、placeholder及feed_dict的理解
- c语言指针 r,C语言指针的高级操作
- mysql alisql_初次安装aliSql
- STKO助力OpenSEES系列:结构模态分析以及动力特性(MDOF与等效SDOF验证)
- 头条号如何提高文章推荐量和阅读量,头条号提高文章阅读量和推荐量的方法
- Cannot convert a symbolic Tensor (simple_rnn/strided_slice:0) to a numpy array. 报错 (解决方法)
- 【羊了个羊】什么!第二关难如上青天,能不能简单版??
- 为什么团建这么招人恨
- JN5169 NXP Zigbee 3.0开发环境搭建
- HTML5期末大作业:电商网站设计——仿淘宝电商网站管理系统21页(含毕业设计论文7500字) HTML+CSS+JavaScript
- 三阶魔方还原程序心得
- 企业微信之——扫码登录
- T48:构建乘积数组(Java)
- Unity Android Icons 配置
热门文章
- T507修改分区方法-Linux、Android系统适用
- OllyDBG修改exe并保存运行
- 【转】unbuntu 12.10/13.04 安装ibus中文输入法 及解决无法显示首选项bug
- vue element upload组件 file-list的动态绑定
- 盘点抖音上的整蛊程序,会了这些谁还敢跟你玩?小心没朋友啦
- java全栈系列之JavaSE-面向对象(异常详解)043
- 「SymPy」符号运算(5) Vector向量及运算
- 火力重点转移,openstack中国行(深圳站)推出,各站欢迎讲师报名呀!
- 【STM32F407的DSP教程】第24章 DSP变换运算-傅里叶变换
- c语言 pow和sqrt注意