速来高度关注!

CACTER电子邮件安全可靠联手中睿四海正式发布

《2021年Q4Oracle安全可靠调查报告》

瘤果将至,Oracle安全可靠呈现哪种势头?

12月频密再次出现的病毒电子邮件反击和诈欺电子邮件不断涌现,又该怎样提高雇员的严防觉悟?

沙莱县请留下您的专用电子邮箱安全可靠调查报告!

一、Q4垃圾电子邮件宏观经济势头

依照CAC电子邮件安全可靠大网络系统统计数据,2021年Q4会计年度中,垃圾电子邮件占比作者53.71%。

少于4.08亿封垃圾电子邮件源自全境外,全境垃圾电子邮件作者则占46.29%,少于3.5亿封。

二、Q4 钓电子邮件宏观经济势头

2021年第四会计年度的钓电子邮件数

环比快速增长3.6%,会计年度降幅并不大。

但钓电子邮件总额环比上年快速增长95.43%,电子邮件安全可靠严重威胁的情势不乐观。

以内统计数据数据均源自CAC电子邮件安全可靠大网络系统。

三、Q4电子邮件安全可靠统计数据数据阐释

1. Emotet病毒电子邮件反击事例简述

带电脑病毒附带的蓄意电子邮件

11-12月探测到小规模Emotet病毒电子邮件反击。

普通使用者推送带电脑病毒附带的蓄意电子邮件,被害者关上附带后计算机系统会被地牢病毒感染,其发展史电子邮件、电子邮件记事本重要信息外泄。

借助发展史重要信息内部结构的蓄意电子邮件

获得使用者的发展史电子邮件及记事本等脆弱重要信息后,普通使用者再借助发展史电子邮件重要信息内部结构更多的蓄意电子邮件,透过僵尸网络推送大量的蓄意电子邮件给域内使用者,严重影响正常办公。

普通使用者使用僵尸网络投递蓄意电子邮件,使使用者服务器在短时间内收到巨量蓄意电子邮件,综合而言,此次Emotet病毒电子邮件反击有以下几个特点:

(1) 重要信息普通使用者借助发展史电子邮件收发关系内部结构病毒电子邮件,部分电子邮件使用了发展史电子邮件正文,目的是获取收件人的信任关系。

(2) 使用了大量僵尸账号、反击IP资源,实现了发信账号、反击IP的高频率切换,目的是绕过反钓的IP限制机制。

(3) 病毒样本为电脑病毒,进行了免杀处理。部分电子邮件透过下载链接、加密压缩等形式进一步加强免杀,目的是绕过当前反病毒的特征查杀。

(4) 病毒释放的文件为下载器,下载的反击载荷疑似具有远控功能。

依照以内的反击规模、手法可以判断,此次emotet是一次小规模病的毒电子邮件反击,反击范围广泛,Coremail的多个客户遭受到反击。

经过病毒溯源,此次反击发起者可能为TA551组织。

(5) 目前CAC云安全可靠中心透过添加电子邮件特征规则、设置yara二进制特征识别规则、部署奇安信杀毒引擎并持续向奇安信反馈样本,针对性加强拦截能力。

2.简单命令式样回复账密的钓电子邮件依然奏效

如上图所示,此案件呈现以下特征:

此钓电子邮件设计地非常粗糙,普通使用者仿冒为电子邮件管理员,简单粗暴命令要求使用者回复账号密码。

尽管十分可疑,但未接受过反钓演练,觉悟防护低的使用者无法察觉,仍会有使用者如实进行回复。

此钓电子邮件还呈现以下特点:

(1)普通使用者使用的发信人与最后需要使用者回复的电子邮箱明显不一致。

发件人为admin的伪造使用者,无法正常用于电子邮件交互。而最后需要使用者回复的电子邮箱则为foxmail个人电子邮箱,用于搜集重要信息。普通使用者使用这类免费的个人电子邮箱,会导致溯源工作难度增大。

(2)依照电子邮件内容,它规避了反钓常用的URL链接检查和附带代码检查,仅使用文本进行钓,增加了反钓的检测难度。

(3)基于以内两点可以判断,普通使用者使用特制的纯文本电子邮件用于诱导使用者回复,反钓只能透过文本指纹技术去检测,若再次收到此类钓电子邮件,可反馈给反钓厂商,用于提高钓电子邮件文本指纹库的统计数据数据质量。

四、Q4深度溯源事例

1. 概述

Q4会计年度,中睿四海透过睿眼分析监控到新型绕过钓电子邮件,透过云检测平台不完全统计数据,在各大基础设施单位共发起过万次该电子邮件的url检测请求,目前还在持续增加中。

此电子邮件透过登录已失陷的账户,伪造From字段为电信的通知账户,让收件人以为该电子邮件是源自电信推送的验证账户的通知电子邮件,以此来诱骗收件人点击正文中的钓链接,正文透过文本混淆的方式来绕过网关的检测。

链接访问后会获取当前使用者的IP地址,普通使用者以此来判断电子邮箱是否存活。钓链接为安全可靠系统的登录页面,诱使使用者输入账户密码和经常登录地点。

2. 反击手法分析

该反击手法透过在正文中插入大量的混淆字体,并且透过将混淆字体大小font-size设置为0,使网关等设备能识别,电子邮件正文不显示,且只有透过十六进制转文本字符串才能还原电子邮件正文,目前能绕过市面上大部分电子邮件网关。

图-十六进制源码分析

将=符号去掉后即可转换

3. 电子邮件发件IP分析

对多封蓄意电子邮件源码分析,发现多个发件IP为49.85.233.229、49.84.233.227、221.225.117.169,180.107.4.66对以内IP进行分析发现均为代理秒拨,判断该组织使用代理池对多个单位批量推送钓电子邮件。

图-IP分析结果

4. 钓网址分析

透过使用者点击正文的确认链接,跳转到网址[http://www.mailsystemsafe.com],该网址为钓网站,模仿安全可靠系统登录页面。

主要目的诱骗使用者的账户密码,目前该组织所有钓网址反查IP均为43.155.117.247,154.23.134.86,钓网址为http://www.mailsystemsecure.com、http://www.mailsystemsafe.com。

该组织一个域名只使用1-2天就更换,难以透过严重威胁情报分析url。

5. 分析结果

该反击电子邮件正文进行混淆,域名更换较为频密,绕过方式新颖。

电子邮件头分析发件IP均为国内江苏省IP,ipip打上的标签均为代理秒拨,钓域名为godaddy购买,前期钓域名绑定IP为43.155.117.247,腾讯云的VPS;近期发现钓域名绑定IP为154.23.134.86,Cogent的VPS。

该组织前期使用VPS为腾讯云的,后期更换为国外Cogent的VPS,VPS地址均为香港,编码绕过用的中文,钓目标主要为国内各大基础设施单位,推断为国内的黑产组织。

1.本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2.分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3.不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4.本站提供的源码、模板、插件等其他资源,都不包含技术服务请大家谅解!
5.如有链接无法下载或失效,请联系管理员处理!
6.本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!