中文字幕乱人伦高清视频,亚洲产国偷v产偷v自拍色戒,亚洲午夜av久久久精品影院色戒 ,亚洲av无码成h人在线观看,亚洲,国产,欧美日韩一区二区在线

26年匠心,專(zhuān)注成就好郵箱!
釣魚(yú)郵件翻倍!2021年Q4企業(yè)郵箱安全報(bào)告出爐!
2022-01-20

CACTER郵件安全聯(lián)合中睿天下發(fā)布《2021年Q4企業(yè)郵箱安全報(bào)告》。年關(guān)將至,企業(yè)郵箱安全呈現(xiàn)出何種態(tài)勢(shì)?12月頻繁出現(xiàn)的病毒郵件攻擊以及詐騙郵件層出不窮,又該如何提升員工的防范意識(shí)?下滑查收您的專(zhuān)屬郵箱安全報(bào)告!


一、Q4垃圾郵件宏觀態(tài)勢(shì)






根據(jù)CAC郵件安全大數(shù)據(jù)中心統(tǒng)計(jì),2021年Q4季度中,垃圾郵件占比來(lái)源53.71%。


超過(guò)4.08億封垃圾郵件來(lái)自境外境內(nèi)垃圾郵件來(lái)源則占46.29%,超過(guò)3.5億封。



二、Q4 釣魚(yú)郵件宏觀態(tài)勢(shì)






2021年第四季度的釣魚(yú)郵件數(shù)量環(huán)比增長(zhǎng)3.6%,季度增幅不大。


但是釣魚(yú)郵件總量同比去年同期增長(zhǎng)95.43%郵件安全威脅的形勢(shì)不容樂(lè)觀。


以上數(shù)據(jù)均來(lái)自CAC郵件安全大數(shù)據(jù)中心。



三、Q4郵件安全數(shù)據(jù)解讀



1. Emotet病毒郵件攻擊案例詳解




11-12月偵測(cè)到大規(guī)模Emotet病毒郵件攻擊。


攻擊者發(fā)送帶宏病毒附件的惡意郵件,受害者打開(kāi)附件后計(jì)算機(jī)會(huì)被木馬感染,其歷史郵件、郵件通訊錄信息泄露。




得到用戶(hù)的歷史郵件及通訊錄等敏感信息后,攻擊者再利用歷史郵件信息構(gòu)造更多的惡意郵件,通過(guò)僵尸網(wǎng)絡(luò)發(fā)送大量的惡意郵件給域內(nèi)用戶(hù),嚴(yán)重影響正常辦公。


攻擊者使用僵尸網(wǎng)絡(luò)投遞惡意郵件,使用戶(hù)服務(wù)器在短時(shí)間內(nèi)收到巨量惡意郵件,綜合而言,此次Emotet病毒郵件攻擊有以下幾個(gè)特點(diǎn):


(1) 信息攻擊者利用歷史郵件收發(fā)關(guān)系構(gòu)造病毒郵件,部分郵件使用了歷史郵件正文,目的是獲取收件人的信任關(guān)系。


(2) 使用了大量僵尸賬號(hào)、攻擊IP資源,實(shí)現(xiàn)了發(fā)信賬號(hào)、攻擊IP的高頻率切換,目的是繞過(guò)反釣魚(yú)的IP限制機(jī)制。


(3) 病毒樣本為宏病毒,進(jìn)行了免殺處理。部分郵件通過(guò)下載鏈接、加密壓縮等形式進(jìn)一步加強(qiáng)免殺,目的是繞過(guò)當(dāng)前反病毒的特征查殺。


(4) 病毒釋放的文件為下載器,下載的攻擊載荷疑似具有遠(yuǎn)控功能。


根據(jù)以上的攻擊規(guī)模、手法可以判斷,此次emotet是一次大規(guī)模病的毒郵件攻擊,攻擊范圍廣泛,Coremail的多個(gè)客戶(hù)遭受到攻擊。

經(jīng)過(guò)病毒溯源,此次攻擊發(fā)起者可能為T(mén)A551組織。


(5) 目前CAC云安全中心通過(guò)添加郵件特征規(guī)則、設(shè)置yara二進(jìn)制特征識(shí)別規(guī)則、部署奇安信殺毒引擎并持續(xù)向奇安信反饋樣本,針對(duì)性加強(qiáng)攔截能力。


2.簡(jiǎn)單命令式樣回復(fù)賬密的釣魚(yú)郵件依然奏效




如上圖所示,此案件呈現(xiàn)出以下特征:


此釣魚(yú)郵件設(shè)計(jì)地非常粗糙,攻擊者仿冒為郵件管理員,簡(jiǎn)單粗暴命令要求用戶(hù)回復(fù)賬號(hào)密碼。


盡管十分可疑,但未接受過(guò)反釣魚(yú)演練,意識(shí)防護(hù)低的用戶(hù)無(wú)法察覺(jué),仍會(huì)有用戶(hù)如實(shí)進(jìn)行回復(fù)。


此釣魚(yú)郵件還呈現(xiàn)出以下特點(diǎn):


(1)攻擊者使用的發(fā)信人與最后需要用戶(hù)回復(fù)的郵箱明顯不一致。


發(fā)件人為admin的偽造用戶(hù),無(wú)法正常用于郵件交互。而最后需要用戶(hù)回復(fù)的郵箱則為foxmail個(gè)人郵箱,用于搜集信息。攻擊者使用這類(lèi)免費(fèi)的個(gè)人郵箱,會(huì)導(dǎo)致溯源工作難度增大。


(2)根據(jù)郵件內(nèi)容,它規(guī)避了反釣魚(yú)常用的URL鏈接檢查和附件代碼檢查,僅使用文本進(jìn)行釣魚(yú),增加了反釣魚(yú)的檢測(cè)難度。


(3)基于以上兩點(diǎn)可以判斷,攻擊者使用特制的純文本郵件用于誘導(dǎo)用戶(hù)回復(fù),反釣魚(yú)只能通過(guò)文本指紋技術(shù)去檢測(cè),若再次收到此類(lèi)釣魚(yú)郵件,可反饋給反釣魚(yú)廠商,用于提升釣魚(yú)郵件文本指紋庫(kù)的數(shù)據(jù)質(zhì)量。



四、Q4深度溯源案例



1. 概述

Q4季度,中睿天下通過(guò)睿眼分析監(jiān)控到新型繞過(guò)釣魚(yú)郵件,通過(guò)云檢測(cè)平臺(tái)不完全統(tǒng)計(jì),在各大基礎(chǔ)設(shè)施單位共發(fā)起過(guò)萬(wàn)次該郵件的url檢測(cè)請(qǐng)求,目前還在持續(xù)增加中。


此郵件通過(guò)登錄已失陷的賬戶(hù),偽造From字段為電信的通知賬戶(hù),讓收件人以為該郵件是來(lái)自電信發(fā)送的驗(yàn)證賬戶(hù)的通知郵件,以此來(lái)誘騙收件人點(diǎn)擊正文中的釣魚(yú)鏈接,正文通過(guò)文本混淆的方式來(lái)繞過(guò)網(wǎng)關(guān)的檢測(cè)。


鏈接訪問(wèn)后會(huì)獲取當(dāng)前用戶(hù)的IP地址,攻擊者以此來(lái)判斷郵箱是否存活。釣魚(yú)鏈接為安全系統(tǒng)的登錄頁(yè)面,誘使用戶(hù)輸入賬戶(hù)密碼以及經(jīng)常登錄地點(diǎn)。




2. 攻擊手法分析

該攻擊手法通過(guò)在正文中插入大量的混淆字體,并且通過(guò)將混淆字體大小font-size設(shè)置為0,使網(wǎng)關(guān)等設(shè)備能識(shí)別,郵件正文不顯示,且只有通過(guò)十六進(jìn)制轉(zhuǎn)文本字符串才能還原郵件正文,目前能繞過(guò)市面上大部分郵件網(wǎng)關(guān)。




將=符號(hào)去掉后即可轉(zhuǎn)換




3. 郵件發(fā)件IP分析

對(duì)多封惡意郵件源碼分析,發(fā)現(xiàn)多個(gè)發(fā)件IP為49.85.233.229、49.84.233.227、221.225.117.169,180.107.4.66對(duì)以上IP進(jìn)行分析發(fā)現(xiàn)均為代理秒撥,判斷該組織使用代理池對(duì)多個(gè)單位批量發(fā)送釣魚(yú)郵件。




4. 釣魚(yú)網(wǎng)址分析

通過(guò)用戶(hù)點(diǎn)擊正文的確認(rèn)鏈接,跳轉(zhuǎn)到網(wǎng)址[http://www.***.com],該網(wǎng)址為釣魚(yú)網(wǎng)站,模仿安全系統(tǒng)登錄頁(yè)面。

主要目的誘騙用戶(hù)的賬戶(hù)密碼,目前該組織所有釣魚(yú)網(wǎng)址反查IP均為43.155.117.247,154.23.134.86,釣魚(yú)網(wǎng)址為http://www.**.com、http://www.***.com。

該組織一個(gè)域名只使用1-2天就更換,難以通過(guò)威脅情報(bào)分析url。




5. 分析結(jié)果

該攻擊郵件正文進(jìn)行混淆,域名更換較為頻繁,繞過(guò)方式新穎。

郵件頭分析發(fā)件IP均為國(guó)內(nèi)江蘇省IP,ipip打上的標(biāo)簽均為代理秒撥,釣魚(yú)域名為godaddy購(gòu)買(mǎi),前期釣魚(yú)域名綁定IP為43.155.117.247,騰訊云的VPS;近期發(fā)現(xiàn)釣魚(yú)域名綁定IP為154.23.134.86,Cogent的VPS。

該組織前期使用VPS為騰訊云的,后期更換為國(guó)外Cogent的VPS,VPS地址均為香港,編碼繞過(guò)用的中文,釣魚(yú)目標(biāo)主要為國(guó)內(nèi)各大基礎(chǔ)設(shè)施單位,推斷為國(guó)內(nèi)的黑產(chǎn)組織。

×