即使知道top10弱密碼，你的郵箱還會被突突突|深度報告

郵件密碼安全是個老生常談的問題了。

先來看看新鮮出爐的2017中國十大電子郵箱弱密碼。

相信你可能在top10中看到了眼熟的密碼，這里要特別說明的是，排行第3位的密碼“Asdf123456”為鍵盤基準鍵“asdf”與“123456”的組合。而排名第10位的“!QAZ2wsx”，雖然看起來有大小寫字母，有數字，還有特殊符號，但實際上卻是一個鍵盤左邊鍵的順序排列。所以，特別提醒，只是簡單使用鍵盤上相近的按鍵組合而成密碼，實際上也大多是弱密碼。

好吧好吧，這就回去改密碼行了吧？

不行，這年頭針對郵件的惡意攻擊太多了，即使改了密碼還是會被攻擊者想方設法突突突。所謂知己知彼，想要保護自己先要了解對方的招式，垃圾郵件和釣魚郵件早為大眾熟悉，本文則要探究的是魚叉攻擊郵件。

魚叉郵件是指攻擊者針對特定目標投遞特定主題及內容的欺詐電子郵件。相比于一般的釣魚郵件，魚叉郵件往往更具迷惑性，同時也往往具有更加隱秘的攻擊目的。

對于魚叉攻擊郵件，為何用戶容易中招呢？

360互聯網安全中心的安全專家們分析發現，這些魚叉攻擊郵件在制作手法和攻擊技術等方面通常并沒有什么特別之處，也很少采用什么新型技術，但是，卻普遍采用了社會工程學的偽裝方法。攻擊者會精心構造郵件主題、郵件內容及附帶的文檔名，使其極具欺騙性、迷惑性，導致很多用戶中招。此外，部分用戶安全意識只停留在可執行的惡意程序上，對郵件中附帶的惡意文檔防范意識較弱。

舉例來說，2018年春節前后，一些重要的政府機構接連收到一些帶有鏈接的魚叉郵件，誘導用戶點擊郵件的鏈接，并下載打開帶漏洞攻擊代碼的Office文檔；一旦用戶下載并打開文檔，則會觸發漏洞并繼續下載執行遠控木馬，這些遠控木馬感染電腦后，會長期控制用戶電腦。

搞事的幕后團伙是臭名昭著的摩訶草組織（APT-C-09），又稱HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是一個來自于南亞地區的境外APT組織，該組織已持續活躍了8年。摩訶草組織最早由Norman安全公司于2013年曝光，該組織主要針對中國、巴基斯坦等亞洲地區和國家進行網絡間諜活動。在針對中國地區的攻擊中，該組織主要針對政府機構、科研教育領域進行攻擊。

與一般的魚叉郵件將木馬文件作為附件進行直接投遞不同，在摩訶草組織的這一輪魚叉攻擊中，攻擊者只是在郵件中放入了一個下載鏈接，誘導用戶自己去下載漏洞利用文檔，之后再通過漏洞利用文檔，來下載遠控木馬。這種攻擊方式使得一般郵件系統中的反病毒引擎完全無法監測到木馬的投遞過程。

下圖為摩訶草組織魚叉郵件內容截圖，本就是我方在明敵方在暗，對方還這么會蹭新聞熱點，不中招太難了（攤手）。

除此之外，針對特殊行業工業企業的帶毒郵件附件陷阱也不少見。

用戶收到的帶毒郵件，其附件為針對性極強的誘餌文檔，大多是與該公司的技術合作或商務合作相關的文檔內容。

如下圖帶毒郵件附件樣本。如果將其保存在電腦桌面上，表面上看起來就是一份名為“Technical Points for review.docx”的普通Word文檔。但如果點擊展開文件的文件名，就會發現，攻擊者在文件名中插入了很多的空格，從而利用Windows的文件名顯示規則，把真實的文件名后綴“.exe”隱藏了起來。

 

這個誘餌文檔實際上并不是一個“純粹的”Word文檔，而是一個由rar生成的自解壓程序。如果用戶雙擊打開該誘餌文檔，這個自解壓程序就會調用rar程序對自己進行解壓操作:它一方面會在c:\intel\logs目錄下釋放木馬文件“mobisynce.exe”；另一方面則會在當前目錄下，生成一個與自己同名的正常的.docx文件；然后再在偷偷運行木馬文件的同時，打開解壓出來的正常.docx文檔，從而迷惑被攻擊的受害者，使受害者以為自己只是打開了一個Word文檔。

沒想到吧，還有這種神操作。

在誘餌文檔被打開后，可以看到，文檔標題為“XX需要XXX公司確認的技術問題”，正文內容也全部都是與相關“技術問題”有關的內容。這樣的郵件，其社工手法顯然是經過非常精心設計和策劃的，一般人很難識破。

這僅為個例，通過對2017年魚叉攻擊郵件抽樣分析統計顯示，以訂單類為主題的魚叉攻擊郵件最多，占比高達39.8%，主題關鍵字涉及訂單、RFQ（Request For Quotation)、采購單、PO（Purchase Order）等。排名第二的是支付類，占比為19.4%，涉及的主題主要有Payment、Invoice（發票）、Balance Payment Receipts。

除了以上兩類，排名第三的是無主題，占比為14.7%。此類郵件缺少主題甚至正文，只攜帶惡意附件。之所以這些郵件不設置主題，主要原因有兩方面：

1） 縮短魚叉攻擊郵件制作時間；

2） 為了方便群發郵件，由于攻擊者想要攻擊的人群多樣，很難找到適合所有收件人的主題。

另外，抽樣統計顯示，企業最易成為攻擊者通過魚叉攻擊郵件進行攻擊的對象，占比高達61.5%，這里所說的企業主要包括互聯網、IT信息技術、生活服務、批發零售等企業。

其次是金融機構占比較大，達到了14.7%，這里所說金融機構主要是指銀行、證券公司、保險公司、信托公司，郵件內容及郵件攜帶的惡意附件通常是有關匯率及銀行賬單信息等。雖然攻擊這類機構有較高的風險，但對這類機構的攻擊可獲取巨大的利益，因此對金融機構得攻擊仍然占據著較大比例。

排名第三的是政府機構，達到了7.1%，郵件攜帶的漏洞文檔一般是新聞稿、各國出臺的新政策及向政府部門提出的建議等；其次是軍事機構和科研教育機構，達到了5.2%和4.2%，這類攻擊通常由具有政治背景的APT組織發起，攻擊往往帶有政治目的。

“其他”類別占據了7.3%，這部分郵件攻擊目標涉及到普通個人、醫療衛生、協會團體等多個方面。

說完了攻擊目標，再來看看受攻擊地區。

從下圖的魚叉攻擊郵件攻擊目標可以看出，受攻擊地區主要集中在亞洲、北美洲和歐洲，排名第一的是亞洲，占比為29.8%，其中主要包括中國、越南、菲律賓、韓國、日本、哈薩克斯坦、伊朗、巴勒斯坦等國。其次是北美洲，占比為23.1%，主要包括加拿大、美國、巴拿馬等國。排名第三的是歐洲，占比也超過了20%，受攻擊國家主要有俄羅斯、烏克蘭、德國、荷蘭、羅馬尼亞等國。緊隨其后的是大洋洲、非洲以及南美洲，占比分別為9.9%、8.7%、6.6%。

上圖可見全球多個國家遭受到了魚叉式網絡攻擊，這變相說明了此類攻擊仍然是現今攻擊者使用的一種主流攻擊方式，很多攻擊者通過社會工程學獲取用戶或機構的郵箱地址，然后偽裝其相應的主題，攜帶惡意附件，進行攻擊。

攻擊者一般使用什么郵箱發件呢？

抽樣統計顯示，55.7%的發件人使用企業專用郵箱，如@tsl.com、@o2.pl、@ dhl.com、@ srwealth.biz、@web.de、@nesma.com等。這類郵箱分為兩種情況：

1） 攻擊者獲取了某個企業員工的郵箱，通過該郵箱發送魚叉攻擊郵件給企業其他員工；

2） 攻擊者直接偽造郵件發件人，以免被安全從業人員溯源。

從社會工程學上看，發件人郵箱為企業的郵箱，并配有相應的郵件內容，更容易取得用戶的信任。

另外44.3%發件人使用的是個人郵箱，其中Gmail郵箱比例占據較大，達到了19.3%，另外，Outlook郵箱占據了7.2%，排名第三，這是由于很多用戶為了方便，使用該類型郵箱與Office其他套件配合辦公，在進行網絡攻擊時也采用了此類郵箱。最后mail.ru占據了4.4%，該類型郵箱主要在俄羅斯使用。

“其他”類別占據了13.4%，這部分主要包括yahoo郵箱、foxmail郵箱、163郵箱等。因此在這里提醒用戶對于含有附件的未知電子郵箱，應特別小心，不要被好奇心驅動而打開附件。

本文為360威脅情報中心&論客投稿，雷鋒網編輯。

獲取報告原文關注雷鋒網宅客頻道（微信公眾號：letshome），留言“電子郵件”獲取下載鏈接。

雷鋒網原創

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。