网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

从国内观察邮件安全情况，腾讯御界高级威胁检测系统每日捕获到的鱼叉邮件多为“订单类与支付类”，订单类主题关键字涉及“订单”、“采购单”、“Purchase Order”、“RequestFor Quotation”等；支付类主题关键字涉及有“Invoice（发票）”、“Payment”、“Balance Payment Receipts”等，并且此两类邮件的内容通常与主题相符合以诱导用户点击恶意附件。

如下图与“订单”相关的邮件，通过将带有恶意宏代码的word文档伪装为附件“订单列表”，诱使用户打开文档并触发恶意宏代码或者漏洞执行，最终实现投放“NetWiredRC”远控木马。

还有一类也很常见的就是无主题邮件，此类邮件缺少主题甚至正文，只携带恶意附件，主要原因有两方面：

a.  缩短鱼叉邮件制作时间；

b.  为了方便群发邮件，每个群体都会有其特点，不易找到共同点。

在2017年爆发了WannaCry（永恒之蓝）勒索病毒后，很多变形后的勒索软件就是通过空白主题的邮件进行广泛传播的。

2.  邮件安全案例

鱼叉邮件主要以投递“窃密”、“远控”木马为目的，近年来为了快速变现而投递勒索病毒的趋势也开始变多。

2019年上半年，腾讯安全等共发布18次关于邮件安全的告警，其中腾讯安全御见威胁情报中心发布了16例有关恶意邮件的分析报告。

从危害行为来看，以勒索为目的的恶意邮件有10例，包含8个主流勒索软件家族；以远控窃密为目的的恶意邮件有8例。从攻击手段来看，使用群发鱼叉邮件有8例，使用定制鱼叉邮件3例，利用office宏代码下载恶意本体有5例，使用软件的组件漏洞进行攻击的有2例。

最受攻击者青睐的office漏洞CVE-2017-11882

利用office软件的公式编辑器漏洞CVE-2017-11882实现隐秘远程下载的恶意邮件是十分常见的。用户容易误以为文档中不会有恶意代码。更重要的是，由于邮件来源和内容往往被高度伪装，用户很容易放下防备心打开文档，进而导致释放病毒。

虽然该漏洞的补丁早在2017年11月公布提供修复，但实际上Office安全漏洞的修复率比系统补丁修复率要低得多，因此公式编辑器漏洞高成功率也是被广泛利用的主要原因。

2019年3月,腾讯安全御见威胁情报中心再次捕获到针对外贸行业的攻击样本。攻击者将恶意word文档作为附件，向外贸从业人员发送“报价单”等相关主题的鱼叉邮件，受害者一旦打开附件，恶意word文档便会利用CVE-2017-11882漏洞执行恶意代码，并释放fareit等窃密木马。

释放的窃密木马会窃取中毒电脑敏感信息，包括用户名密码、应用程序列表、邮件信息、FTP类工具软件的登录凭证、多款主流浏览器的登录凭证。

总收入20亿美金的Gandcrab勒索病毒

2019年3月13日，腾讯安全御见威胁情报中心检测到，不法分子正使用GandCrab5.2勒索病毒对我国部分政府部门工作人员进行鱼叉邮件攻击，使用的邮件主题名为“你必须在3月11日下午3点向警察局报到！”，该病毒由于使用RSA+Salsa20加密方式，无私钥常规情况下难以解密。

企业终端失陷攻击分析

(一)  失陷攻击简述

迄今为止，绝大多数企业都还是以防火墙为基础划分出企业内网和公众网络的边界，并基于此构建安全体系。企业内网被认为是可信区间，为了便于开展日常工作，通常都不会对员工在内网中访问各种资源设置严格限制。

因此，当病毒突破外围防火墙进入内网环境之后，将会在内网肆意扩散。

病毒为了让其自身恶意行为实现效益最大化，首先会通过开机启动实现常驻于用户系统，然后会尝试内网横向传播。接下来我们从“内网传播”与“持久化驻留方式”两个维度总结今年上半年企业终端受攻击情况。

(二)  失陷攻击的横向扩散与常驻

1.  内网传播

1) 漏洞利用

从针对系统组件的漏洞攻击情况来看，今年上半年事件频发的内网病毒传播事件最热门的仍然是利用内网SMB共享服务漏洞进行传播的“永恒之蓝漏洞”，而利用该漏洞进行广泛传播的最为臭名昭著的病毒当属“永恒之蓝下载器”挖矿病毒。