从电子邮件刚刚普及的年代,就已经出现了携带病毒附件的邮件攻击形式。不过,随着安全软件的普及和反垃圾邮件系统的不断升级,群发带毒邮件的攻击方式越来越难以成功。但尽管如此,2016年以来,Coremail论客与360的联合监控平台每天仍能截获6000封左右的带毒邮件,比较高峰时期可达单日数万封。
此外,利用邮件进行有针对性的攻击,特别是结合了社会工程学手法的邮件攻击,也仍然十分流行。特别值得注意的是,对于只针对有限目标发送的,针对性很强的带毒邮件,普通的垃圾邮件过滤系统往往很难识别。因为这些邮件并不具备一般垃圾邮件所具有的海量群发、或使用大量推广语汇的特点,而且病毒样本的传播范围也非常有限。
识别带毒邮件,一般需要在普通的垃圾邮件过滤系统之上,再增加一套恶意程序识别系统,并且该系统具有较强的特种木马识别能力。
针对带毒邮件的带毒类型,攻击目的,伪装方法和一些很难识别的典型攻击手法进行分析说明。
一、 带毒邮件的带毒类型
本次报告针对2016年10月截获的一大批带毒邮件进行了抽样分析。统计显示,所有的带毒邮件都是以附件形式携带的木马病毒。而在所有带毒邮件的病毒附件中,PE文件(可执行文件)占3.8%,非PE文件占比为96.2%。可见,非PE文件是相对的主流。而这也正是带毒邮件最让人担忧的问题。因为对于有防毒经验的人来说,如果邮件附件是可执行文件,轻易是不会去打开的。但如果邮件附件是非PE文件,则用户的警惕性通常都会大大降低。
(一) PE文件
从攻击类型上来看,在邮件携带的PE文件木马样本中,远控木马最多,占到了61.8%,其次是下载者(将更多的木马病毒下载到电脑中的一种木马程序),占14.5%
从代码特征上来看,在邮件携带的PE文件木马样本中,VB程序最多,占54.2%;其次是.Net程序,占31.3%;RAR自解压包排名第三,占6.1%。
(二) 非PE文件
非PE文件木马程序的类型相对来说就比较单一了。从下图中可见,下载者木马占到了邮件携带的非PE文件木马程序的99.1%;而其他类型的非PE木马的总和不足1%。
从文件的类型来看,在邮件携带的非PE文件木马样本中,vbs程序最多,占80.1%;其次是wsf程序,占18.3%;其他类型的非PE木马在邮件出现比例都非常低。
二、 APT攻击中的鱼叉邮件
带毒邮件的一种比较特殊的形态是鱼叉邮件,特指在高档持续性攻击,即APT攻击中,攻击者专门发送给特定攻击目标的一种带毒邮件。鱼叉邮件与普通的带毒邮件有两点最主要的不同:一是鱼叉邮件通常不会群发给很多人,而是非常比较准确的发送给某一个人或几个人;二是鱼叉邮件通常不是以获取经济利益为目的。其攻击目的主要是窃密情报机密,另外就是在极少数情况下会以破坏为目的。
APT攻击会采用的手法很多,但鱼叉攻击是被使用最为频繁的。不过,特别值得注意的是,根绝360威胁情报中心发布的《2015中国高档持续性威胁(APT)研究报告》显示,在针对国内目标发动的APT攻击中,79.2%的攻击使用的是鱼叉攻击;而从全球来看,APT攻击中使用鱼叉邮件的仅占55.2%。
下图援引自《2015中国高档持续性威胁(APT)研究报告》。
为什么在针对中国的APT攻击中,鱼叉邮件的使用比例会远远高于全球平均水平呢?这主要是因为:鱼叉邮件的实施成本要明显低于水坑攻击等其他攻击手段,但相比之下,鱼叉邮件也是最容易被识破的攻击,而中国的企业用户的安全意识水平普遍不及西方国家用户,所以,使用鱼叉邮件对中国用户实施攻击的成功率要高于西方国家,所以攻击者在攻击中国时,更乐于选择使用成本较低,但收益不低的鱼叉邮件。
三、 企业邮箱防毒建议
(一) 技术措施
1) 企业邮箱的服务系统应当配备反病毒引擎,并且应确保该反病毒引擎为国内用户普遍使用的主流引擎,这样才能保证病毒样本收集更快,更全面。
2) 企业用户办公电脑上,应安装统一管理的反病毒软件,以做到针对新生病毒样本首先时间发现,首先时间查杀。
3) 在企业内网系统中,构建终端安全软件与邮箱服务端反病毒引擎的协同联动机制,使终端安全软件能够成为邮件服务系统的恶意样本探测器,一旦在终端上捕获新的恶意样本,立即上报给邮件系统的反病毒引擎,从而可以立即阻止同类病毒样本继续通过邮件系统对用户发动攻击。
在上述三点中,第三点目前还很少有企业在实践中使用。特别是目前绝大多数的邮件服务商并不具备专业的反病毒能力,而专业的反病毒厂商往往又普遍缺乏在邮箱服务系统中采集恶意样本的能力。而Coremail论客与360的合作则为这一长期矛盾提供了深层次的解决方案。
(二) 员工教育
在防范带毒邮件攻击方面,企业应当对员工进行以下几方面的基本教育:
1) 对于陌生人发来的邮件,不要轻易点开邮件附件。
2) 下载邮件附件,一定要先查毒,再打开。
3) 可以将安全性存疑,或安全性不确定的邮件附件,放在电脑安全软件提供的沙箱功能中打开或运行,从而即能看到附件中文件的内容,又可以比较大限度的保护电脑不受侵害。
4) 遇到邮件附件为可执行文件时,相对不能直接点开,特别想打开看的话,也一定要放在沙箱中运行。
(推广)