01釣魚攻擊頻發(fā)，企業(yè)安全風險愈加嚴峻

?

今年3月，電子郵件安全解決方案提供商Cofense發(fā)布的《2023年電子郵件安全報告》[1]顯示， 2022年釣魚郵件增加了569%，與釣魚相關(guān)的威脅增加了478%，釣魚郵件傳播的惡意軟件增加了44%。另外安天在為客戶提供威脅應急響應時也發(fā)現(xiàn)釣魚攻擊事件數(shù)量呈現(xiàn)增長趨勢,尤其是針對一些重要的黨政機關(guān)、科研機構(gòu)等，釣魚郵件也是一種常見的攻擊手段。

?

通過綜合2022年全球釣魚郵件攻擊相關(guān)數(shù)據(jù)分析，每1000個郵箱，平均每月遭受的郵件攻擊數(shù)量近300次，其中釣魚攻擊為主要攻擊方式，相比2021年全年增加12.36%。

?

同時，根據(jù)麥賽郵件安全實驗室（MailSec Lab）的監(jiān)測數(shù)據(jù)顯示，中國在2022年遭受的釣魚郵件攻擊數(shù)量居世界第二位，相比2021年的增長達到了78%[2]。

02釣魚攻擊防御難點分析

釣魚攻擊的核心是利用社工手段，誘導目標運行攻擊載荷或者訪問偽造官方網(wǎng)站。相較于其他攻擊方式，釣魚攻擊的防御難點主要包括以下兩點：

?

1．企業(yè)的“暴露面”難以進行約束和管理

傳統(tǒng)意義上的暴露面是指終端系統(tǒng)開放的服務與可訪問端口，但企業(yè)中辦公人員也是一種特殊的“暴露面”，辦公人員因工作需要，經(jīng)常使用企業(yè)郵箱、個人郵箱、即時通信工具、瀏覽器等辦公軟件，而這類軟件經(jīng)常與外部網(wǎng)絡(luò)進行通信，故存在被攻擊者利用的風險，甚至是擊穿辦公內(nèi)網(wǎng)的主要手段。攻擊者會基于攻擊目標的工作內(nèi)容、興趣愛好等設(shè)計有迷惑性的內(nèi)容，尤其是攻擊目標價值越高迷惑性也越強，而辦公人員的安全意識難以始終保持高度警惕，給予攻擊者可乘之機。

2．釣魚攻擊隱蔽性強，傳統(tǒng)防御方式難以檢測

以釣魚攻擊中常見的釣魚郵件為例，攻擊者并非直接向用戶發(fā)送攻擊文件，而是發(fā)送誘餌文件，誘餌文件通常是混淆文件或者包含宏病毒的文檔，這類文件不具備直接攻擊行為且極易變種，導致常規(guī)病毒檢測手段難以實現(xiàn)精準查殺。

03釣魚攻擊的常見攻擊方式舉例

1.郵件正文插入惡意鏈接

攻擊者在釣魚郵件的正文中、附件PDF文件中嵌入了不同類型的惡意鏈接，當目標查閱釣魚郵件后便會被攻擊者精心設(shè)計的郵件正文、PDF文件內(nèi)容誘騙，從而點擊惡意鏈接下載具有惡意宏代碼的文檔。

案例：

從2021年下半年至今，安天CERT陸續(xù)捕獲到Confucius組織針對巴基斯坦進行攻擊的樣本文件，如下圖所示,仿冒政府網(wǎng)站的釣魚網(wǎng)站訪問鏈接：攻擊者利用HTTrack等網(wǎng)站克隆工具，搭建仿冒政府部門官網(wǎng)的釣魚網(wǎng)站，當目標通過釣魚網(wǎng)站訪問鏈接訪問釣魚網(wǎng)站時，攻擊者通過網(wǎng)站內(nèi)容誘騙目標下載攜帶惡意宏的文檔。

3-1?仿冒巴基斯坦國防大學學報的釣魚網(wǎng)站

2.郵件附件包含惡意代碼

攻擊者向目標發(fā)送包含有惡意代碼附件的釣魚郵件，誘導用戶運行。通常附件類型是混淆格式的可執(zhí)行文件（例如將可執(zhí)行文件圖標更換為文檔圖標）或者包含有宏病毒的文檔，誘餌文件會從網(wǎng)絡(luò)下載攻擊載荷，并且通過漏洞利用攻擊、無文件攻擊、利用系統(tǒng)文件加載病毒等高威脅方式執(zhí)行攻擊行為，而常規(guī)病毒查殺很難有效防御以上攻擊手段。

案例模擬：

基于某客戶防護案例，我們將攻擊過程進行模擬，其中攻擊者針對目標用戶投放釣魚郵件，郵件的主題為某項目報價邀請函，并在郵件的正文中給出了關(guān)于投標該項目的說明。該郵件存在兩個附件：一個html文件和一個壓縮包文件。其中html文件是一個釣魚網(wǎng)頁，偽裝成在線表單，用于竊取用戶的郵箱密碼；同時壓縮包中含有一個VBS腳本，用于執(zhí)行GuLoader加載器并向目標系統(tǒng)投遞AgentTesla竊密木馬。

圖3?2?釣魚郵件內(nèi)容

04安天智甲家族產(chǎn)品助力用戶有效防御釣魚郵件攻擊

?

釣魚郵件最終需在終端上落地和運行，在終端建立有效的防御機制是達成釣魚防御目標的重要抓手。智甲依托于安天自主研發(fā)的威脅檢測引擎，通過病毒查殺、宏病毒專殺、虛擬補丁、主動防御、勒索專項防御和分布式防火墻等能力進行全方位的釣魚郵件攻擊防御。

?

1.病毒查殺模塊自動、精準查殺病毒、混淆文件

釣魚攻擊中攻擊者會利用郵件附件等方式向目標投遞病毒文件，并且利用文件名稱誘導、格式混淆等方式誘導用戶執(zhí)行。智甲的病毒查殺能力對終端新增文件具備自動檢測能力，可精準查殺變種木馬和可疑混淆格式文件，可檢測文件真實格式與圖標匹配度，對可疑和惡意文件進行告警和清除。

2.宏病毒專殺模塊限制可疑宏代碼運行

利用文檔的宏下載病毒文件或者執(zhí)行惡意代碼也是釣魚攻擊中一種常見方式，智甲具有宏病毒專殺能力，對本地文檔可快速完成批量篩查，并自動剝離和清除文檔中宏病毒代碼。同時，智甲支持一鍵限制宏代碼運行，提高文檔使用安全性。

?

3.虛擬補丁模塊攔截漏洞利用攻擊

?

在釣魚郵件攻擊中，攻擊者常用“如利用Office文檔溢出漏洞”的攻擊方式，智甲的虛擬補丁能力，通過調(diào)用關(guān)系檢查、敏感文件調(diào)用檢測和系統(tǒng)輸入?yún)?shù)檢測等方式在未更新補丁的終端上，實現(xiàn)對特定漏洞的利用攻擊防御。

?

4.內(nèi)核級主動防御模塊有效應對無文件攻擊

?

無文件攻擊是一種不會在目標系統(tǒng)的磁盤上留下可執(zhí)行文件，而是利用系統(tǒng)內(nèi)置的工具或腳本直接在內(nèi)存中執(zhí)行惡意代碼的一種攻擊手段，其特點是難以通過傳統(tǒng)的病毒查殺手段進行防御。近幾年釣魚攻擊中利用無文件攻擊手段的事件呈現(xiàn)快速增長趨勢。

?

智甲的主動防御模塊，能夠?qū)崟r監(jiān)控終端內(nèi)存空間活動，通過棧回溯、堆檢測等機制快速準確識別惡意攻擊行為，配合著內(nèi)存檢測引擎可以快速識別加密或解密后的內(nèi)存特征碼，實現(xiàn)快速感知惡意行為，有效防御無文件攻擊。

?

5.分布式防火墻對主機惡意流量進行精準檢測

?

釣魚郵件中還會存在利用仿冒網(wǎng)站、C2等方式獲取用戶隱私數(shù)據(jù)或者下載惡意代碼，智甲的分布式防火墻模塊，實時監(jiān)控和檢測主機網(wǎng)絡(luò)流量，同時基于安天智甲出廠預裝的威脅情報庫，可對郵件發(fā)送人地址、訪問URL等進行識別和鑒定，對惡意流量進行告警和攔截。

?

6.面對利用釣魚方式的勒索病毒攻擊建立專項防護毒

攻擊者常會以釣魚郵件為突破口對目標進行勒索攻擊，智甲的勒索病毒專項防護能力，基于特有勒索病毒行為特征庫對進程行為進行實時檢測，一旦發(fā)現(xiàn)進程存在勒索行為可立即阻斷，以此防御各類未知勒索病毒，同時具備文件自動備份能力，即使用戶環(huán)境受損也可以恢復重要數(shù)據(jù)。

圖4?1?安天智甲終端防御系統(tǒng)攔截與處置日志

?

參考資料：

?

[1]2023 ANNUAL STATE OF EMAIL SECURITY REPORT

https://cofense.com/wp-content/uploads/2023/03/2023-Annual-Report-Cofense.pdf

?

[2]?MailSec Lab發(fā)布2022年度全球郵件安全威脅報告及2023年郵件安全趨勢預測

http://www.safenext.com/newsinfo/5143683.html