企业、金融机构和政府成鱼叉攻击重灾区 这三类主题邮件要当心
作者: 日期:2018年05月09日 阅:11,369

研究人员发现,主题为“订单”、“支付信息”的电子邮件,往往暗藏玄机,是邮件攻击者经常采用的邮件主题。

根据360威胁情报中心联合Coremail论客最近发布的《2017中国企业邮箱安全性报告》,在企业级电子邮箱用户收发的邮件中,仅有约1/4为正常邮件,大量邮件属于垃圾邮件、钓鱼邮件和带毒邮件。其中,由于攻击者大量使用社会工程学手法,相比于一般的钓鱼邮件,鱼叉邮件往往更具迷惑性,同时也往往具有更加隐秘的攻击目的,普通人很难识破。企业、金融机构和政府成为主要的鱼叉攻击受害者。

360互联网安全中心和360威胁情报中心对2017年全球范围内的鱼叉攻击邮件样本进行分析发现,鱼叉攻击邮件在制作手法和攻击技术等方面通常并没有什么特别之处,也很少采用什么新型技术,但却普遍采用了社会工程学的伪装方法——攻击者会精心构造邮件主题、邮件内容及附带的文档名,使其极具欺骗性、迷惑性,导致很多用户中招。此外,部分用户安全意识只停留在可执行的恶意程序上,对邮件中附带的恶意文档防范意识较弱。鱼叉邮件是指攻击者针对特定目标投递特定主题及内容的欺诈电子邮件。

三类主题邮件要当心

研究人员通过对2017年鱼叉攻击邮件抽样分析统计发现,以订单类为主题的鱼叉攻击邮件最多,占比高达39.8%,主题关键字涉及订单、RFQ(Request For Quotation)、采购单、PO(Purchase Order)等。而且此类邮件的内容通常与主题相符合,内容通常有如下几种形式:

1) 请给出附件订单最优惠价格;
2) 请参考我们公司以往订单中产品的价格等

排名第二的是支付类,占比为19.4%。涉及的主题主要有Payment、Invoice(发票)、Balance Payment Receipts等,此类主题的邮件内容通常有:附件为我们公司的支付方式;附件为我们公司寄出的发票;麻烦确认附件的支付信息等。

除了以上两类,排名第三的是无主题,占比为14.7%。此类邮件缺少主题甚至正文,只携带恶意附件。之所以这些邮件不设置主题,主要原因有两方面:缩短鱼叉攻击邮件制作时间和方便群发邮件。由于攻击者想要攻击的人群多样,很难找到适合所有收件人的主题。在2017年5月12日爆发了WanaCry(永恒之蓝)勒索病毒后,很多变形后的勒索软件就是通过空白主题的邮件进行广泛传播的。

此外,以通知类和政策类为主题的邮件经常出现在APT攻击中,主题如xx大会召开、颁布新政、战略计划等,针对是陌生人发来的此类主题的邮件也当特别注意。隐私类主要是指以xx简历、xx聚会照片、xx体检报告、xx工资为主题的邮件。

还有其他一些主题就比较广泛,主要有诱导执行类主题,还包括节日祝福、xx培训、backup、代开发票、股票信息等。其中诱导执行类主题的邮件携带的恶意附件多为宏病毒文档,这是由于很多用户默认Office设置是检测到宏代码发出提醒,这导致攻击者会在邮件主题以及内容中添加诱导内容,如点开“允许”按钮才能查看文档内容等,在好奇心的驱动下,普通用户很容易中招。

Office文档是最常用的攻击工具

本次报告的研究范围限定在以恶意文档作为附件来进行伪装和攻击的鱼叉攻击邮件。

通过对2017年出现的鱼叉攻击邮件抽样分析,研究人员发现,攻击者在邮件中最喜欢携带的文档为Office文档,占比高达65.4%。主要原因有以下两个方面:一是Office文档类型众多,从而导致漏洞类型比较多,攻击者可供选择的载体多;二是Office用户群体庞大。

其中在Office系列中Word文档类型尤为突出,占比高达81.8%,主要原因有也有两点:一是很多恶意宏文档喜欢选用Word作为载体;二是Word软件相关的高可利用的漏洞比较多,如CVE-2017-0199。

其次在Office系列排名靠前的是PowerPoint文档,占据了11.7%,很多攻击者喜欢利用 PowerPoint OLE 钓鱼文档,将PowerShell代码或恶意PE文件嵌入PPT 文档中进行攻击,此类攻击一般Office默认会弹出安全警告窗口,但是安全意识较弱的用户容易选择放行。

除了Office文档之外,攻击者也喜欢利用将RTF(Rich Text Format)文档作为附件,其占比达到了27.3%。由于RTF文件结构简单,能交换各种文字处理软件之间的文本,并且默认情况下RTF类型的文件系统会调用Word程序来解析,因此很多攻击者选择使用RTF文档,并嵌入恶意OLE对象用于触发漏洞或绕过Office的安全保护机制。此外,PDF文档也占据7.3%,该类文档中通常包含一些恶意的JavaScript代码,这些代码会连接云端下载恶意程序,当然还有利用PDF漏洞进行攻击的文档。

在受害群体方面,抽样统计显示,企业最易成为攻击者通过鱼叉攻击邮件进行攻击的对象,占比高达61.5%,这里所说的企业主要包括互联网、IT信息技术、生活服务、批发零售等企业。之所以企业成为了通过鱼叉攻击邮件进行攻击的首要目标,主要因为多数攻击以获取经济利益为目的,企业数量众多,而且企业邮箱很容易暴露,因此通常将企业作为攻击目标。

其次是金融机构占比较大,达到了14.7%,这里所说金融机构主要是指银行、证券公司、保险公司、信托公司,邮件内容及邮件携带的恶意附件通常是有关汇率及银行账单信息等。虽然攻击这类机构有较高的风险,但对这类机构的攻击可获取巨大的利益,因此对金融机构得攻击仍然占据着较大比例。

排名第三的是政府机构,达到了7.1%,邮件携带的漏洞文档一般是新闻稿、各国出台的新政策及向政府部门提出的建议等;其次是军事机构和科研教育机构,达到了5.2%和4.2%,这类攻击通常由具有政治背景的APT组织发起,攻击往往带有政治目的。

由于鱼叉攻击大多采用社会工程学手法进行伪装,同时利用Office等常见文档进行攻击,导致很多安全意识薄弱的用户中招。安全人员认为这说明在政企机构开展安全意识培训,提升全员的安全意识,对于防范邮件攻击具有极大的必要性。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章