威胁研究正文

邮件安全处置手册

2019-12-04 01:42:59

电子邮件至今仍是恶意程序最有效的投递渠道,腾讯安全御见威胁情报中心对2019年通过邮件渠道投递恶意软件的典型案例进行分析,撰写邮件安全处置手册,供企业用户参考。

恶意邮件、垃圾邮件的风险如下图所示:

一、邮件安全需要高度重视

在互联网早期,由于操作系统或电子邮件客户端存在的严重安全漏洞,频繁发生电子邮件蠕虫病毒:病毒邮件可自我复制,群发攻击地址簿的所有人,给邮件服务器造成沉重压力。

随着操作系统、邮件服务器软件以及安全软件的不断升级改进,这类邮件蠕虫已逐渐消失,恶意软件通过邮件传播的能力受到一定程度的遏制。但通过电子邮件攻击至今仍为恶意软件投放主渠道。其特点表现为:

1.针对精准目标投放,如各安全厂商披露的APT攻击,往往使用邮件精准投放;

2.针对高价值目标投放,如商贸信病毒,专门针对进出口贸易相关企业的攻击,攻击者会精心伪造攻击邮件;

3.没有具体目标的大规模投放:欺诈邮件群发攻击仍然常见,没有特定攻击目标,击中一个算一个;

4.邮件攻击成本低:邮件发送、诱饵文件的制作、攻击工具都容易获得,十分廉价。


垃圾邮件群发带来的工作效率下降和安全风险始终存在,腾讯安全御见威胁情报中心的监测数据表明,针对企业的垃圾邮件攻击占到总邮件量的一半以上,企业需要部署专门的邮件过滤系统来处理邮件。

二、恶意邮件、垃圾邮件的攻击方式
1.
企业邮件系统的安全漏洞,可能导致信息泄露、亦可能造成黑客入侵;

2.
攻击者通过邮件群发,投递各种诱饵文件(比如:带恶意宏代码的Office文档,利用压缩工具漏洞传播的攻击文件,伪装成图片、视频、Office文件的可执行程序或脚本),打开诱饵文件后导致病毒木马运行。

3.
精心伪造或冒用身份群发邮件,危害更加严重,收件人更加容易中招。往往用于定向精准攻击特定目标。

三、恶意邮件投递的最终目标(有效载荷)

通过对年内最典型的邮件攻击行动进行分析归纳,发现恶意邮件传播者的最终目标主要有以下7个:


1.
传播勒索病毒,加密文档,通过勒索受害企业获利;


2.
安装挖矿木马,利用企业服务器资源挖矿获利,受害企业业务系统运行效能下降;


3.
窃取受害电脑的机密信息,包括:文件资料、网银帐号信息、浏览器登录信息、邮箱密码、键盘记录、截屏等等;


4.
远程控制中毒电脑,通过已控制的肉鸡电脑实现攻击者的任意目标;


5.
群发恐吓欺诈邮件,谎称已经掌握受害人机密信息,要求受害人向指定虚拟币钱包转帐;


6.
监视剪贴板,劫持虚拟币交易,伺机盗取虚拟币;


7.
通过安装用户不需要的软件牟利。

四、解决方案与应对措施
恶意邮件严重威胁企业内网安全,通过邮件传播的勒索病毒、挖矿木马往往还会集成内网攻击传播的模块,一台机器中招,还可能造成更多内网系统感染病毒。针对电子邮件渠道传播的恶意软件,建议采取以下加固或预防措施:

1.
建议企业采用邮件过滤系统,在服务器端检测或过滤垃圾邮件、和已知病毒木马邮件,减少终端用户中毒概率;

2.
企业可部署腾讯御界高级威胁检测系统,以检测危险流量,及时告警内网终端访问威胁情报命中的失陷URLIP、域名风险,及时检测挖矿木马连接矿池、勒索病毒组件访问C2等等。


腾讯御界可检测

钓鱼邮件投递;
运行附件,触发漏洞利用;
加载payload,执行任务;
受控后外联C2服务器

3.
建议企业所有终端及服务器安装防病毒软件,通过部署腾讯御点终端安全管理系统,为企业提供终端病毒查杀、漏洞修复和统一管控等全方位的终端安全管理方案,可帮助企业管理者更好地了解和保护内网终端系统。

4.对员工进行安全意识培训教育,使终端用户养成谨慎处理邮件的习惯,避免点击危险附件和链接。对于不能确认安全可靠的Office文档,禁止启用宏代码。


5.
建议通过全局安全策略,强制所有终端用户使用复杂口令,避免使用简单密码,避免遭遇爆破攻击。

五、邮件攻击实例
本手册收集2019年腾讯安全御见威胁情报中心整理的12件典型邮件攻击实例,部分案例曾给相关企业造成惨重的损失。

1.“窃密寄生虫木马群发邮件传播

链接:https://mp.weixin.qq.com/s/eLTBB_RaKGQVLwklaVNJYQ

以窃取机密为目的的大量钓鱼邮件攻击,主要危害我国外贸行业、制造业及互联网行业。攻击者搜集大量待攻击目标企业邮箱,然后批量发送伪装成采购订单的钓鱼邮件,邮件附件为带毒压缩文件。

若企业用户误解压执行附件,会导致多个窃密寄生虫Parasite Stealer)木马被下载安装,之后这些木马会盗取多个浏览器记录的登录信息、Outlook邮箱密码及其他机密信息上传到指定服务器。


2.小心伪装成用户调研文档的钓鱼邮件攻击

链接:https://mp.weixin.qq.com/s/PILcMXKLnLLMKd2ikHbG8g


一例伪装成某公司的用户投诉调研文档的钓鱼邮件攻击。黑客在投递的恶意文档中嵌入恶意宏代码,一旦用户在打开文档时选择执行宏,就会在用户电脑上执行一段Powershell,通过多次解码后,执行Poweshell版开源远控木马powerfun

该远控木马采用Powershell实现,可作为控制端段或被控端运行,安装后会搜集系统信息上传,下载安装其他模块,执行任意远程指令。


3.腾讯安全威胁感知系统截获网银大盗木马

链接:https://mp.weixin.qq.com/s/N-sFXKwvFtQqbQnhlXmg_Q


腾讯安全御见威胁感知系统聚类出T-F-278915恶意家族,经分析该家族样本会窃取多种虚拟货币、窃取多国(包含中文、日文、希腊语)银行账户登录凭证,删除用户的浏览器信息,并利用用户电脑进行IQ虚拟货币挖矿等行为。

该木马感染后监测到用户进行网银、支付相关的操作时,会复制剪贴板信息、截屏、进行键盘记录,将中毒电脑隐私信息上传,通过创建任务计划、添加启动项实现开机自动加载,病毒在做这些操作时,顺便利用中毒机器的算力挖矿。

该网银大盗木马在国内已散在出现,其传播渠道主要依靠钓鱼欺诈类邮件。


4.黑客利用商贸信邮件群发攻击千家企业

链接:https://mp.weixin.qq.com/s/XD1TaCE6iVxckVBHeEb50Q


商贸信钓鱼邮件攻击在9月出现新一轮增长。在此次攻击中,黑客精心构造的带有office公式编辑器漏洞CVE-2017-11882或宏代码的恶意文档,将其作为附件批量发送至外贸行业企业邮箱中,在其打开文档中招后植入远控木马NanoCore进行机密信息窃取和远程控制,本次攻击高峰时期每天成功投递超3000个邮件地址。

通过溯源分析,我们发现黑客疑似使用一款名为“****邮件群发器的软件进行邮箱地址采集和邮件批量投递。据测算,该软件具有5000/小时的邮箱地址采集能力,并且在发件时可以自动更换代理IP,已被黑客利用于针对对外贸企业的自动化攻击。


5.GandCrab勒索病毒家族借助钓鱼邮件附加DOC文档传播

链接:https://mp.weixin.qq.com/s/tKLB-LOWPOAskbJKr7pM_w


腾讯御见威胁情报中心监测到GandCrab勒索家族使用钓鱼邮件攻击的案例,攻击者通过邮件内附带doc文档的方式,诱导受害者打开文档,一旦文档被打开,开启宏代码的条件下则会执行恶意代码,进而下载GandCrab v5.0.4勒索病毒执行。

GandCrab
在国内通过弱口令爆破传播感染也十分流行,腾讯安全应急响应中心在多次实地检查真实攻击案例后,发现部分企业存在局域网内多台机器使用同一弱口令的问题,这些管理漏洞导致企业内网大面积感染勒索病毒,业务系统被攻击瘫痪的案例时有发生。


6.sodinokibi勒索病毒借助钓鱼邮件传播

链接:https://mp.weixin.qq.com/s/rBtdQhRukeHeDKud1Zsxug


御见威胁情报中心监测到国内发生大量借助钓鱼邮件方式传播的sodinokibi勒索攻击。该勒索病毒首先出现于20194月底,早期使用web服务相关漏洞传播。近期发现,sodinokibi勒索病毒会伪装成税务单位、司法机构,使用钓鱼欺诈邮件来传播(病毒附件名:關於你案件的文件.doc.exe,聯繫方式.doc.exe,來自最高法院的文件\錶殼材料.doc.exe,稅務局的文件\樣品填充.doc.exe等)。

由于系统默认不显示文件扩展名,伪装成doc文档的EXE病毒常被错误判断为文档而双击打开。


7.伪造知名快递公司邮件攻击企业用户,试图骗取敏感信息

链接:https://mp.weixin.qq.com/s/W-PjjJdnwLFDQmq-f-uDVg


一批针对政府和企业的钓鱼邮件攻击,攻击者假冒某知名快递公司邮箱给客户发送电子发票,通过伪造邮件中的危险附件和链接将目标诱骗到钓鱼网站,骗取企业帐号密码,所幸这类攻击被企业部署的腾讯御界高级威胁检测系统识别报警。

尽管此类钓鱼邮件攻击的门槛较低,部分安全意识较为薄弱的企业员工却极可能中招,根据腾讯安图高级威胁追溯系统的监测,此类攻击手法已累计影响企业邮箱近万个,近期此类攻击已逞明显的上升趋势。


8.商贸信家族利用钓鱼邮件传播商业远控木马RevetRAT

链接:https://mp.weixin.qq.com/s/l3WP6J9EAFM5NMAX21wTtQ


商贸信开始传播商业远控木马RevetRAT,黑客精心构造的带有宏代码的xls文档,作为邮件附件发送至外贸从业人员的邮箱。

当文档被打开时,宏代码执行并获取保存在代码托管平台pastebin上的远程恶意代码,代码执行后继续下载pastebin上保存的二进制数据,然后将其还原成PE文件(远控木马RevetRAT),然后注入Powershell进程执行。

攻击过程无文件落地,中招后会窃取用户隐私信息泄露,同时开启后门,从而造成严重影响。


9.勒索病毒GandCrab 5.2冒充公安机关进行鱼叉邮件攻击

链接:https://mp.weixin.qq.com/s/g1JMjRRiT7lMLDFa4of00A


不法分子使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为你必须在311日下午3点向警察局报到!,攻击邮件主题为你必须在311日下午3点向警察局报到!,包含“MinGap Ryong”及其他假冒的发件人约70余个,邮件附件名为“03-11-19.rar"

GandCrab
勒索病毒是国内目前最活跃的勒索病毒之一,该病毒在过去一年时间经过5次大版本更新,腾讯威胁情报中心曾多次发布预警,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件传播,该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒作者手中私钥常规情况下无法解密。


10.小心处理Word邮件附件,打开就中远控木马

链接:https://mp.weixin.qq.com/s/pcx8CleBTvrZRC3ZV_qUTQ


一个远控木马家族NetWiredRC,该家族在424号左右刚刚出现,腾讯安图高级威胁追溯系统自动将该家族聚类为T-F-240477。该家族通过发送钓鱼邮件,诱导用户打开带有恶意宏代码的word格式附件,打开附件后,电脑就会下载安装远程控制木马,木马会窃取中毒电脑的机密信息上传到控制者服务器。


11.3300万个邮箱密码泄漏,一大波勒索邮件攻击正在到来

链接:https://mp.weixin.qq.com/s/7Ed3dnY1OfXJM7M4wh0FqQ


腾讯安全御见威胁情报中心近期捕获到一起挖矿木马攻击事件,该木马病毒的独特亮点就是利用肉鸡电脑大量发送恐吓勒索邮件。

攻击者首先通过VNC爆破弱口令尝试登录服务器,得手后先下载门罗币挖矿木马挖矿,木马会关闭Windows安全中心,添加开机启动项,会感染U盘或移动硬盘,劫持比特币钱包等等。

每攻克一台服务器,攻击者就验证2万个邮箱地址。该病毒已经攻克了1691台服务器,已验证的邮箱帐号超过3300万个,包括YahooGoogleAOL、微软在内的邮箱服务均在被攻击之列,最终可能会有上亿个邮箱帐号被验证。

如果邮箱帐号验证成功就向该邮箱发送欺诈勒索邮件,邮件内容就是我知道了你的密码或隐私信息,你必须在X日内向XXX帐号支付价值XXX美元的比特币,否则,就公开你的隐私信息。


12.Emotet银行木马再次通过大量群发钓鱼邮件攻击国内企业

链接:https://mp.weixin.qq.com/s/WogYcSzNB4BEgIapZNYX1w


腾讯安全御见威胁情报中心监测到多家企业收到钓鱼邮件攻击,钓鱼邮件附件是一个Office文档,运行后宏病毒会下载Emotet银行木马执行。数据显示近期Emotet木马针对国内的攻击呈明显上升趋势,从事进出口贸易的企业是Emotet银行木马的主要目标。腾讯电脑管家、腾讯御点均可拦截可疑文档中的宏代码执行PowerShell下载恶意程序的行为。

在线咨询

方案定制