2021年第四季度的釣魚郵件數(shù)量環(huán)比增長3.6%，季度增幅不大。

但是釣魚郵件總量同比去年同期增長95.43%，郵件安全威脅的形勢不容樂觀。

以上數(shù)據(jù)均來自CAC郵件安全大數(shù)據(jù)中心。

三、Q4郵件安全數(shù)據(jù)解讀

1. Emotet病毒郵件攻擊案例詳解

11-12月偵測到大規(guī)模Emotet病毒郵件攻擊。

攻擊者發(fā)送帶宏病毒附件的惡意郵件，受害者打開附件后計算機(jī)會被木馬感染，其歷史郵件、郵件通訊錄信息泄露。

得到用戶的歷史郵件及通訊錄等敏感信息后，攻擊者再利用歷史郵件信息構(gòu)造更多的惡意郵件，通過僵尸網(wǎng)絡(luò)發(fā)送大量的惡意郵件給域內(nèi)用戶，嚴(yán)重影響正常辦公。

攻擊者使用僵尸網(wǎng)絡(luò)投遞惡意郵件，使用戶服務(wù)器在短時間內(nèi)收到巨量惡意郵件，綜合而言，此次Emotet病毒郵件攻擊有以下幾個特點：

(1) 信息攻擊者利用歷史郵件收發(fā)關(guān)系構(gòu)造病毒郵件，部分郵件使用了歷史郵件正文，目的是獲取收件人的信任關(guān)系。

(2) 使用了大量僵尸賬號、攻擊IP資源，實現(xiàn)了發(fā)信賬號、攻擊IP的高頻率切換，目的是繞過反釣魚的IP限制機(jī)制。

(3) 病毒樣本為宏病毒，進(jìn)行了免殺處理。部分郵件通過下載鏈接、加密壓縮等形式進(jìn)一步加強(qiáng)免殺，目的是繞過當(dāng)前反病毒的特征查殺。

(4) 病毒釋放的文件為下載器，下載的攻擊載荷疑似具有遠(yuǎn)控功能。

根據(jù)以上的攻擊規(guī)模、手法可以判斷，此次emotet是一次大規(guī)模病的毒郵件攻擊，攻擊范圍廣泛，Coremail的多個客戶遭受到攻擊。

經(jīng)過病毒溯源，此次攻擊發(fā)起者可能為TA551組織。

(5) 目前CAC云安全中心通過添加郵件特征規(guī)則、設(shè)置yara二進(jìn)制特征識別規(guī)則、部署奇安信殺毒引擎并持續(xù)向奇安信反饋樣本，針對性加強(qiáng)攔截能力。

如上圖所示，此案件呈現(xiàn)出以下特征：

此釣魚郵件設(shè)計地非常粗糙，攻擊者仿冒為郵件管理員，簡單粗暴命令要求用戶回復(fù)賬號密碼。

盡管十分可疑，但未接受過反釣魚演練，意識防護(hù)低的用戶無法察覺，仍會有用戶如實進(jìn)行回復(fù)。

此釣魚郵件還呈現(xiàn)出以下特點：

（1）攻擊者使用的發(fā)信人與最后需要用戶回復(fù)的郵箱明顯不一致。

發(fā)件人為admin的偽造用戶，無法正常用于郵件交互。而最后需要用戶回復(fù)的郵箱則為foxmail個人郵箱，用于搜集信息。攻擊者使用這類免費(fèi)的個人郵箱，會導(dǎo)致溯源工作難度增大。

（2）根據(jù)郵件內(nèi)容，它規(guī)避了反釣魚常用的URL鏈接檢查和附件代碼檢查，僅使用文本進(jìn)行釣魚，增加了反釣魚的檢測難度。

（3）基于以上兩點可以判斷，攻擊者使用特制的純文本郵件用于誘導(dǎo)用戶回復(fù)，反釣魚只能通過文本指紋技術(shù)去檢測，若再次收到此類釣魚郵件，可反饋給反釣魚廠商，用于提升釣魚郵件文本指紋庫的數(shù)據(jù)質(zhì)量。

四、Q4深度溯源案例

Q4季度，中睿天下通過睿眼分析監(jiān)控到新型繞過釣魚郵件，通過云檢測平臺不完全統(tǒng)計，在各大基礎(chǔ)設(shè)施單位共發(fā)起過萬次該郵件的url檢測請求，目前還在持續(xù)增加中。

此郵件通過登錄已失陷的賬戶，偽造From字段為電信的通知賬戶，讓收件人以為該郵件是來自電信發(fā)送的驗證賬戶的通知郵件，以此來誘騙收件人點擊正文中的釣魚鏈接，正文通過文本混淆的方式來繞過網(wǎng)關(guān)的檢測。

鏈接訪問后會獲取當(dāng)前用戶的IP地址，攻擊者以此來判斷郵箱是否存活。釣魚鏈接為安全系統(tǒng)的登錄頁面，誘使用戶輸入賬戶密碼以及經(jīng)常登錄地點。