QQ企业邮箱，攻防总结：某大型攻防演练中红队钓鱼邮件攻击手法复盘

攻防总结：某大型攻防演练中红队钓鱼邮件侵略本领复盘  邮箱网  2条品评  3831次浏览  2021年05月18日 星期二 10:41 与倾向开掘运用或者种种冒充及渗透比照，钓鱼邮件因其乐成率高、操作重大成为了攻防演练中*罕有的侵略方式之一。 这也与事实的收集清静情景相宜合。 2020 年 Verizon 数据激进审核陈说（DBIR）发现，恶意电子邮件附件是数据激进以及敲诈软件侵略的主要原因。统计发现 40% 的侵略都运用的是电子邮件链接，电子邮件链接成为了*罕用的熏染载体。 那末该若何提防邮件钓鱼呢？ *实用的措施是在攻防实习前以及同样艰深使掷中妨碍不定期式的反钓鱼演练，经由仿真磨炼提升全员的清静提防意见，飞腾企业信息激进的危害。 在*近一次长达半个月的大型攻防演练中，CAC 云清静中间经由发信行动合成、邮件内容特色检测、恶意 URL 检测、附件检测等多种方式，自动发现并处置了 16 起恶意邮件侵略。 尽管网传了良多红队（侵略方）威风凛凛要把蓝队（防守方）的 " 内网打穿 " 的段子，但实习停止后，CAC 云清静中间总结发现恶意邮件的侵略套路根基截然差距，下边就以一个典型案例来给巨匠复盘一下钓鱼邮件的典型特色，以供参考。 01 攻防复盘：冒充规画员群发钓鱼邮件 2021 年 4 月 12 日，CAC 云清静中间在例行的巡视使掷中，发现了一例疑似针对于某单元的恶意侵略行动。 侵略者试图以总体邮箱冒没收司 " 技术规画部 "，要求用户掀开加密带毒附件。该单元共 21 名用户收到主题为 "【技术规画部 - 紧迫见告】对于自检使命电脑倾向的揭示见告 " 的恶意邮件，附件为 " 自检工具 .Zip"，后履历证该附件实际为后门病毒。 如上图所示，钓鱼邮件特色至关清晰。 一、总体邮箱账号仿冒，赢失约任。发件人冒充企业 " 技术规画部 - 紧迫见告 "，且邮件内容语言正式。经由身份冒充，使受益者卸下心防，更易告竣侵略的目的。 二、失常的加密附件，规避防病毒查杀。邮件内容为下载加密的 " 自检工具 " 魔难电脑倾向，并非金融、账务、外部怪异等敏感文件，却妨碍加密传输，且明码附在邮件原文中，这不适宜加密的逻辑。 钓鱼邮件示例 小 tip：为甚么附件加密缩短可能绕过防病毒检测呢？事实上，惟独对于附件妨碍了加密与缩短，任何的防病毒检测工具便失效了，由于其无奈探测到加密文件的外部情景。而侵略者还会经由恶意附件规范仿冒（.docx.exe）、运用空格缩短恶意附件文件名等本领，妨碍恶意附件的免杀处置，" 怪异 " 绕过种种反病毒、云沙箱等杀毒产物的防线。 三、轮换发信人发信。该主题邮件发送了 12 封，轮换 4 个差距的总体邮箱账号发送，发给统一域名的收信人。除了*封邮件为侵略队测试邮件外，其余邮件内容、主题、fromname 都不同。 四、发信方颇为谨严。发信方在短期内不断发送了 11 封邮件，但在 CAC 云清静中间拦阻该主题邮件后，对于方立马觉察并停止发送邮件。 五、所有邮件的发信 IP 均为境外的署理节点 IP。 六、*封邮件收信方已经被盗号。该账号往年内仅接管 10 封邮件，且均为剩余邮件，4 月 8 日前无发信记实，但在 4 月 9 日发送 2 封可疑邮件，经清静专家合成确认该账号已经被盗号，明码、通讯等敏感信息被激进。 02 附件主题：夸诞惊悚迷惑点击 不患上不说，尽管运用加密缩短妨碍免杀的本领较为罕有，但命中率高，用户点击可能性大。 同样的情景也爆发在某国有总体身上，2021 年 4 月 9 日，某国有总体就收到了一封主题为 " 歌咏对于 ** 拖欠夷易近工人为的使命！！" 的恶意附件邮件，恶意附件为 " 拖欠夷易近工人为线索整理 .zip"。 侥幸的是，从后续监控的服从来看暂未发现有账号被盗的情景。 演练时期，可能看出红方侵略在邮件主题方面简直化精血汗。 邮件主题从鼓舞信息到求职揭发，再到倾向自检、放假布置。深谙收集爆款十万 文章的蹭热门精髓，失业再上岗转战新媒体也未尝不可。 03 清静建议：建树应急照应机制，提升清静意见 从上述复盘可能看出钓鱼邮件的攻防是一个持久而富裕挑战的历程，咱们在此对于广漠邮件零星用户提出如下清静建议： 一、部署清静实用的邮件清静网关或者云效率，提升邮件内容清静防护 二、企业应建树快捷的清静应急照应机制，发现恶意邮件批量投递乐成等使命，应实时删除了恶意邮件，并对于受影响账号快捷妨碍处置 三、临时坚持清静意见培训以及有妄想的反钓鱼演练，后退员工清静意见 标签:钓鱼邮件邮件侵略