從釣魚(yú)攻擊IP發(fā)送源分析，整個(gè)Q1季度，來(lái)自美國(guó)的攻擊IP來(lái)源始終保持排名第一，合計(jì)攻擊次數(shù)高達(dá)408萬(wàn)。其余區(qū)域排名存在波動(dòng)，總體而言，越來(lái)越多的釣魚(yú)郵件正在被發(fā)送給企業(yè)郵箱。

2022年Q1企業(yè)用戶(hù)收到的釣魚(yú)郵件量約占用戶(hù)收發(fā)郵件總量的4.65%。平均每天約有67萬(wàn)封釣魚(yú)郵件被發(fā)出和接收。

四、暴力破解IP歸屬地分析

目前全球網(wǎng)絡(luò)環(huán)境錯(cuò)綜復(fù)雜，企業(yè)郵箱面對(duì)的威脅同等嚴(yán)峻，原通過(guò)“反垃圾郵件”進(jìn)行單一的郵件安全保護(hù)，已經(jīng)難以應(yīng)對(duì)。

為此，Coremail對(duì)原CAC進(jìn)行全新升級(jí)，新增監(jiān)測(cè)“郵箱賬號(hào)暴力破解監(jiān)測(cè)與防護(hù)，加強(qiáng)對(duì)賬號(hào)安全的保護(hù)。

根據(jù)CAC郵件安全大數(shù)據(jù)中心監(jiān)測(cè)，2022年Q1季度，境外暴力破解IP主要來(lái)源于美國(guó)，俄羅斯以及印度。

IP來(lái)自國(guó)內(nèi)的暴力破解次數(shù)持續(xù)上漲，3月環(huán)比增幅高達(dá)157%，3月主要集中地區(qū)是江蘇，安徽，福建和江西。

五、2022年Q1典型威脅郵件

1. Emotet 病毒郵件攻擊案例

帶宏病毒加密附件的惡意郵件-樣式一

從去年11月開(kāi)始，Emotet病毒郵件持續(xù)泛濫。攻擊者除了通過(guò)歷史郵件信息構(gòu)造郵件內(nèi)容，還喜歡通過(guò)對(duì)附件加密壓縮的方式，來(lái)同時(shí)繞過(guò)反病毒和反垃圾的檢查。附件加密后即使是沙箱也難以識(shí)別出病毒。

某客戶(hù)在遭受Emotet攻擊后，日常不到10w的收件量，被Emotet病毒郵件攻擊時(shí)的收件量激增到40w。

Emotet攻擊原理如下：

綜合而言，Emotet病毒郵件包含以下典型特征

1、攜帶加密附件或office宏文檔

2、正文中出現(xiàn)“Password”或“密碼”等關(guān)鍵詞，加密附件的密碼出現(xiàn)在正文

3、出現(xiàn)一些歷史郵件的轉(zhuǎn)發(fā)信息

4、近期的Emotet主要是附件用xlsm 以及附件為加密壓縮包，壓縮包內(nèi)是xlsm。

2.Emotet病毒郵件防護(hù)策略

1、收到此類(lèi)郵件建議用其他社交方式與發(fā)信人取得聯(lián)系，若確認(rèn)為病毒郵件，則馬上報(bào)告安全部門(mén)

2、此類(lèi)加密壓縮的文件，如果一定要打開(kāi)，建議放到虛擬機(jī)的測(cè)試環(huán)境（斷網(wǎng)）打開(kāi)

3、為了能將病毒郵件與正常郵件行為有所區(qū)分，建議日常發(fā)送加密壓縮附件時(shí)，應(yīng)該以其他手段將密碼通知收件人，而不是放在正文

4、若不小心點(diǎn)擊了附件，建議馬上切斷中招PC的網(wǎng)絡(luò)，并馬上聯(lián)系安全部門(mén)清理上網(wǎng)環(huán)境

5、個(gè)人PC安裝殺毒軟件，并保持更新。

6、使用CACTER郵件安全網(wǎng)關(guān)提升防御機(jī)制。

六、工資補(bǔ)貼型釣魚(yú)郵件溯源

1. 概述

近日CAC郵件安全大數(shù)據(jù)中心&中睿天下郵件安全響應(yīng)中心監(jiān)測(cè)到一批來(lái)自黑產(chǎn)組織的釣魚(yú)郵件，主題為【工資補(bǔ)貼】該組織通過(guò)誘導(dǎo)受害者輸入敏感信息進(jìn)行實(shí)時(shí)詐騙，中睿天下該郵件進(jìn)行了深度溯源，該黑產(chǎn)團(tuán)伙的分析報(bào)告如下。

1.郵件詳情

該封郵件正文是工資補(bǔ)貼通知，在正文中放置了一張二維碼圖片，誘導(dǎo)收件人掃描正文中二維碼。郵件附件的內(nèi)容和郵件正文一樣，并未攜帶病毒和可執(zhí)行文件。

2. 黑產(chǎn)釣魚(yú)手法分析

攻擊者通過(guò)在正文和附件放置惡意二維碼，誘導(dǎo)收件人掃描二維碼，收件人掃描該二維碼后會(huì)跳轉(zhuǎn)到仿冒銀聯(lián)的頁(yè)面，該頁(yè)面誘導(dǎo)用戶(hù)輸入個(gè)人信息及銀行卡信息，所以該網(wǎng)站主要為獲取用戶(hù)姓名、身份證號(hào)、手機(jī)號(hào)和銀行卡號(hào)等信息。

通過(guò)查看釣魚(yú)頁(yè)面的前端JS發(fā)現(xiàn)頁(yè)面調(diào)用api接口，域名為api.klh****.***，查詢(xún)api域名解析IP47.5*.*.***。

對(duì)此域名進(jìn)行端口掃描，發(fā)現(xiàn)開(kāi)啟8888端口，訪(fǎng)問(wèn)該端口為發(fā)現(xiàn)寶塔登錄面板，由此可得出此釣魚(yú)為寶塔統(tǒng)一部署，從正面滲透進(jìn)入寶塔難度極高。

對(duì)IP47.5*.*.***反查域名發(fā)現(xiàn)關(guān)聯(lián)200多個(gè)域名，因?yàn)檫\(yùn)用了cname，真實(shí)綁定在此IP上的域名只有api.klh***.***和new.****.***。登錄此域名發(fā)現(xiàn)為該黑產(chǎn)組織的總后臺(tái)。

3. 黑產(chǎn)網(wǎng)站功能分析

通過(guò)總控后臺(tái)可以發(fā)現(xiàn)有眾多的分管后臺(tái)，同時(shí)由總控后臺(tái)可以編輯分管后臺(tái)的域名跳轉(zhuǎn)、續(xù)期、受害人提取等操作方式。因此可以判斷這是一個(gè)實(shí)行分銷(xiāo)制的黑產(chǎn)團(tuán)伙。

圖-總控后臺(tái)

用戶(hù)功能處顯示所有受害者的姓名、銀行卡號(hào)、身份證號(hào)、手機(jī)號(hào)、支付密碼、IP地址\地區(qū)、在線(xiàn)狀態(tài)、使用設(shè)備、操作記錄和添加時(shí)間等信息。

提示跳轉(zhuǎn)處是釣魚(yú)網(wǎng)站收集受害者信息頁(yè)面跳轉(zhuǎn)的規(guī)則設(shè)置。通過(guò)此頁(yè)面可以控制受害者的網(wǎng)頁(yè)跳轉(zhuǎn)階段，以及網(wǎng)頁(yè)的彈窗提示。

黑產(chǎn)管理后臺(tái)同時(shí)可配置釣魚(yú)頁(yè)面和釣魚(yú)模板正文選擇，可以用來(lái)針對(duì)不同的受害者定向編輯模版。

4.1 黑產(chǎn)組織架構(gòu)

通過(guò)對(duì)黑產(chǎn)業(yè)務(wù)的摸排，還原出黑產(chǎn)團(tuán)隊(duì)的組織架構(gòu)。由主團(tuán)伙負(fù)責(zé)開(kāi)發(fā)和維護(hù)建站模版，使用寶塔統(tǒng)一部署。在找到分銷(xiāo)的下線(xiàn)之后，為下線(xiàn)部署一個(gè)管理后臺(tái)，然后將一個(gè)隨機(jī)生成的域名綁定到釣魚(yú)服務(wù)器上。

圖-黑產(chǎn)架構(gòu)1

4. 相似黑產(chǎn)郵件預(yù)警

通過(guò)對(duì)黑產(chǎn)后臺(tái)的摸排，同時(shí)還掌握了一批未經(jīng)利用的郵件釣魚(yú)模版。

可用于提醒員工一但收到的類(lèi)似的短信或者域名請(qǐng)不要輸入任何的敏感信息。

點(diǎn)擊→ 下載報(bào)告