长按二维码关注
御见威胁情报中心
恶意邮件、垃圾邮件的风险如下图所示:
点击可查看大图
一、邮件安全需要高度重视
在互联网早期,由于操作系统或电子邮件客户端存在的严重安全漏洞,频繁发生电子邮件蠕虫病毒:病毒邮件可自我复制,群发攻击地址簿的所有人,给邮件服务器造成沉重压力。
随着操作系统、邮件服务器软件以及安全软件的不断升级改进,这类邮件蠕虫已逐渐消失,恶意软件通过邮件传播的能力受到一定程度的遏制。但通过电子邮件攻击至今仍为恶意软件投放主渠道。其特点表现为:
1.针对精准目标投放,如各安全厂商披露的APT攻击,往往使用邮件精准投放;
2.针对高价值目标投放,如商贸信病毒,专门针对进出口贸易相关企业的攻击,攻击者会精心伪造攻击邮件;
3.没有具体目标的大规模投放:欺诈邮件群发攻击仍然常见,没有特定攻击目标,击中一个算一个;
4.邮件攻击成本低:邮件发送、诱饵文件的制作、攻击工具都容易获得,十分廉价。
垃圾邮件群发带来的工作效率下降和安全风险始终存在,腾讯安全御见威胁情报中心的监测数据表明,针对企业的垃圾邮件攻击占到总邮件量的一半以上,企业需要部署专门的邮件过滤系统来处理邮件。二、恶意邮件、垃圾邮件的攻击方式1.企业邮件系统的安全漏洞,可能导致信息泄露、亦可能造成黑客入侵;2.攻击者通过邮件群发,投递各种诱饵文件(比如:带恶意宏代码的Office文档,利用压缩工具漏洞传播的攻击文件,伪装成图片、视频、Office文件的可执行程序或脚本),打开诱饵文件后导致病毒木马运行。3.精心伪造或冒用身份群发邮件,危害更加严重,收件人更加容易中招。往往用于定向精准攻击特定目标。三、恶意邮件投递的最终目标(有效载荷)
通过对年内最典型的邮件攻击行动进行分析归纳,发现恶意邮件传播者的最终目标主要有以下7个:
1.传播勒索病毒,加密文档,通过勒索受害企业获利;
2.安装挖矿木马,利用企业服务器资源挖矿获利,受害企业业务系统运行效能下降;
3.窃取受害电脑的机密信息,包括:文件资料、网银帐号信息、浏览器登录信息、邮箱密码、键盘记录、截屏等等;
4.远程控制中毒电脑,通过已控制的肉鸡电脑实现攻击者的任意目标;
5.群发恐吓欺诈邮件,谎称已经掌握受害人机密信息,要求受害人向指定虚拟币钱包转帐;
6.监视剪贴板,劫持虚拟币交易,伺机盗取虚拟币;
7. 通过安装用户不需要的软件牟利。四、解决方案与应对措施恶意邮件严重威胁企业内网安全,通过邮件传播的勒索病毒、挖矿木马往往还会集成内网攻击传播的模块,一台机器中招,还可能造成更多内网系统感染病毒。针对电子邮件渠道传播的恶意软件,建议采取以下加固或预防措施:1.建议企业采用邮件过滤系统,在服务器端检测或过滤垃圾邮件、和已知病毒木马邮件,减少终端用户中毒概率;2.企业可部署腾讯御界高级威胁检测系统,以检测危险流量,及时告警内网终端访问威胁情报命中的失陷URL、IP、域名风险,及时检测挖矿木马连接矿池、勒索病毒组件访问C2等等。
1
腾讯御界可检测
① 钓鱼邮件投递;② 运行附件,触发漏洞利用;③ 加载payload,执行任务;④ 受控后外联C2服务器3.建议企业所有终端及服务器安装防病毒软件,通过部署腾讯御点终端安全管理系统,为企业提供终端病毒查杀、漏洞修复和统一管控等全方位的终端安全管理方案,可帮助企业管理者更好地了解和保护内网终端系统。
4.对员工进行安全意识培训教育,使终端用户养成谨慎处理邮件的习惯,避免点击危险附件和链接。对于不能确认安全可靠的Office文档,禁止启用宏代码。5.建议通过全局安全策略,强制所有终端用户使用复杂口令,避免使用简单密码,避免遭遇爆破攻击。五、邮件攻击实例本手册收集2019年腾讯安全御见威胁情报中心整理的12件典型邮件攻击实例,部分案例曾给相关企业造成惨重的损失。
1.“窃密寄生虫”木马群发邮件传播
链接:以窃取机密为目的的大量钓鱼邮件攻击,主要危害我国外贸行业、制造业及互联网行业。攻击者搜集大量待攻击目标企业邮箱,然后批量发送伪装成“采购订单”的钓鱼邮件,邮件附件为带毒压缩文件。
若企业用户误解压执行附件,会导致多个“窃密寄生虫”(Parasite Stealer)木马被下载安装,之后这些木马会盗取多个浏览器记录的登录信息、Outlook邮箱密码及其他机密信息上传到指定服务器。
2.小心伪装成用户调研文档的钓鱼邮件攻击
链接:
一例伪装成某公司的用户投诉调研文档的钓鱼邮件攻击。黑客在投递的恶意文档中嵌入恶意宏代码,一旦用户在打开文档时选择执行宏,就会在用户电脑上执行一段Powershell,通过多次解码后,执行Poweshell版开源远控木马powerfun。该远控木马采用Powershell实现,可作为控制端段或被控端运行,安装后会搜集系统信息上传,下载安装其他模块,执行任意远程指令。
3.腾讯安全威胁感知系统截获网银大盗木马
链接:
腾讯安全御见威胁感知系统聚类出T-F-恶意家族,经分析该家族样本会窃取多种虚拟货币、窃取多国(包含中文、日文、希腊语)银行账户登录凭证,删除用户的浏览器信息,并利用用户电脑进行IQ虚拟货币挖矿等行为。该木马感染后监测到用户进行网银、支付相关的操作时,会复制剪贴板信息、截屏、进行键盘记录,将中毒电脑隐私信息上传,通过创建任务计划、添加启动项实现开机自动加载,病毒在做这些操作时,顺便利用中毒机器的算力挖矿。该网银大盗木马在国内已散在出现,其传播渠道主要依靠钓鱼欺诈类邮件。
4.黑客利用“商贸信”邮件群发攻击千家企业
链接:
“商贸信”钓鱼邮件攻击在9月出现新一轮增长。在此次攻击中,黑客精心构造的带有office公式编辑器漏洞CVE-2017-11882或宏代码的恶意文档,将其作为附件批量发送至外贸行业企业邮箱中,在其打开文档中招后植入远控木马NanoCore进行机密信息窃取和远程控制,本次攻击高峰时期每天成功投递超3000个邮件地址。通过溯源分析,我们发现黑客疑似使用一款名为“****邮件群发器”的软件进行邮箱地址采集和邮件批量投递。据测算,该软件具有5000个/小时的邮箱地址采集能力,并且在发件时可以自动更换代理IP,已被黑客利用于针对对外贸企业的“自动化”攻击。
5.GandCrab勒索病毒家族借助钓鱼邮件附加DOC文档传播
链接:
腾讯御见威胁情报中心监测到GandCrab勒索家族使用钓鱼邮件攻击的案例,攻击者通过邮件内附带doc文档的方式,诱导受害者打开文档,一旦文档被打开,开启宏代码的条件下则会执行恶意代码,进而下载GandCrab v5.0.4勒索病毒执行。GandCrab在国内通过弱口令爆破传播感染也十分流行,腾讯安全应急响应中心在多次实地检查真实攻击案例后,发现部分企业存在局域网内多台机器使用同一弱口令的问题,这些管理漏洞导致企业内网大面积感染勒索病毒,业务系统被攻击瘫痪的案例时有发生。
6.sodinokibi勒索病毒借助钓鱼邮件传播
链接:
御见威胁情报中心监测到国内发生大量借助钓鱼邮件方式传播的sodinokibi勒索攻击。该勒索病毒首先出现于2019年4月底,早期使用web服务相关漏洞传播。近期发现,sodinokibi勒索病毒会伪装成税务单位、司法机构,使用钓鱼欺诈邮件来传播(病毒附件名:關於你案件的文件.doc.exe,聯繫方式.doc.exe,來自最高法院的文件\錶殼材料.doc.exe,稅務局的文件\樣品填充.doc.exe等)。
由于系统默认不显示文件扩展名,伪装成doc文档的EXE病毒常被错误判断为文档而双击打开。
7.伪造知名快递公司邮件攻击企业用户,试图骗取敏感信息
链接:
一批针对政府和企业的钓鱼邮件攻击,攻击者假冒某知名快递公司邮箱给客户发送电子发票,通过伪造邮件中的危险附件和链接将目标诱骗到钓鱼网站,骗取企业帐号密码,所幸这类攻击被企业部署的腾讯御界高级威胁检测系统识别报警。尽管此类钓鱼邮件攻击的门槛较低,部分安全意识较为薄弱的企业员工却极可能中招,根据腾讯安图高级威胁追溯系统的监测,此类攻击手法已累计影响企业邮箱近万个,近期此类攻击已逞明显的上升趋势。
8.商贸信家族利用钓鱼邮件传播商业远控木马RevetRAT
链接:
商贸信开始传播商业远控木马RevetRAT,黑客精心构造的带有宏代码的xls文档,作为邮件附件发送至外贸从业人员的邮箱。当文档被打开时,宏代码执行并获取保存在代码托管平台pastebin上的远程恶意代码,代码执行后继续下载pastebin上保存的二进制数据,然后将其还原成PE文件(远控木马RevetRAT),然后注入Powershell进程执行。攻击过程无文件落地,中招后会窃取用户隐私信息泄露,同时开启后门,从而造成严重影响。
9.勒索病毒GandCrab 5.2冒充公安机关进行鱼叉邮件攻击
链接:
不法分子使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”,攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”,包含“Min,Gap Ryong”及其他假冒的发件人约70余个,邮件附件名为“03-11-19.rar"。GandCrab勒索病毒是国内目前最活跃的勒索病毒之一,该病毒在过去一年时间经过5次大版本更新,腾讯威胁情报中心曾多次发布预警,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件传播,该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒作者手中私钥常规情况下无法解密。
10.小心处理Word邮件附件,打开就中远控木马
链接:
一个远控木马家族NetWiredRC,该家族在4月24号左右刚刚出现,腾讯安图高级威胁追溯系统自动将该家族聚类为T-F-。该家族通过发送钓鱼邮件,诱导用户打开带有恶意宏代码的word格式附件,打开附件后,电脑就会下载安装远程控制木马,木马会窃取中毒电脑的机密信息上传到控制者服务器。
11.超3300万个邮箱密码泄漏,一大波勒索邮件攻击正在到来
链接:
腾讯安全御见威胁情报中心近期捕获到一起挖矿木马攻击事件,该木马病毒的独特亮点就是利用肉鸡电脑大量发送恐吓勒索邮件。攻击者首先通过VNC爆破弱口令尝试登录服务器,得手后先下载门罗币挖矿木马挖矿,木马会关闭Windows安全中心,添加开机启动项,会感染U盘或移动硬盘,劫持比特币钱包等等。每攻克一台服务器,攻击者就验证2万个邮箱地址。该病毒已经攻克了1691台服务器,已验证的邮箱帐号超过3300万个,包括Yahoo、Google、AOL、微软在内的邮箱服务均在被攻击之列,最终可能会有上亿个邮箱帐号被验证。
如果邮箱帐号验证成功就向该邮箱发送欺诈勒索邮件,邮件内容就是“我知道了你的密码或隐私信息,你必须在X日内向XXX帐号支付价值XXX美元的比特币,否则,就公开你的隐私信息。”
12.Emotet银行木马再次通过大量群发钓鱼邮件攻击国内企业
链接:
腾讯安全御见威胁情报中心监测到多家企业收到钓鱼邮件攻击,钓鱼邮件附件是一个Office文档,运行后宏病毒会下载Emotet银行木马执行。数据显示近期Emotet木马针对国内的攻击呈明显上升趋势,从事进出口贸易的企业是Emotet银行木马的主要目标。腾讯电脑管家、腾讯御点均可拦截可疑文档中的宏代码执行PowerShell下载恶意程序的行为。