360-2017年鱼叉攻击邮件研究报告(网络安全).pdfVIP

2017 年鱼叉攻击邮件研究 报告 2017 年 11 月 30 日 摘 要  本次报告的研究范围限定在以恶意文档作为附件来进行伪装和攻击的鱼叉攻击邮件，其 中恶意文档主要是指包含了病毒代码或者漏洞利用的伪装性攻击文档，此报告的研究范 围不包括除鱼叉攻击邮件以外的其他恶意邮件，如垃圾邮件、钓鱼邮件等，也不包括通 过URL 链接引导用户跳转到指定的网站利用浏览器漏洞或者其他欺骗信息进行攻击的 情况。  通过对2017 年鱼叉攻击邮件抽样分析统计显示，以订单类为主题的鱼叉攻击邮件最多， 占比高达39.8%，排名第二的主题是支付类，占比为19.4%。  攻击者通过鱼叉邮件最喜欢攻击的是各个企业，占比高达61.5%，其次为金融机构，占 比为14.7%，排名第三的是政府机构，占比为7.1% 。  从鱼叉邮件攻击地区知道，受攻击地区主要集中在亚洲、北美洲、欧洲，占比分别为 29.8% 、 23.1%、21.9% 。  抽样统计显示，55.7%发件人使用的是企业专用邮箱，个人邮箱中排名前二位的是分别 是Gmail 邮箱和Outlook 邮箱，占比分别为19.3%和7.2% 。  攻击者在邮件中最喜欢携带的文档为Office 文档，占比高达65.4%，其次为 RTF （Rich Text Format ）文档占比达到了27.3% 。  抽样统计显示，通过宏代码来运行恶意载荷所占比例最大，达到了59.3%，其次是通过 系统漏洞来执行恶意代码的方式，占比为36.3% 。  通过统计鱼叉攻击邮件携带的载荷发现，下载者木马占据第一，占比为38.3%，排名第 二和第三的分别是远控木马、信息盗取木马，占比达到了23.7%和13.9%。 关键词： 鱼叉攻击邮件、发件人、主题、附件、漏洞、宏代码、载荷 目 录 第一章 研究背景 1 第二章 鱼叉攻击邮件分析 2 一、 邮件主题分析2 二、 攻击行业分析2 三、 攻击地区分析3 四、 发件邮箱分析4 第三章 鱼叉攻击邮件携带文档分析 6 一、 携带文档类型6 二、 攻击触发方式6 三、 最终攻击载荷7 第四章 鱼叉攻击邮件携带文档攻击案例 9 一、 利用漏洞攻击案例9 二、 带毒宏攻击案例 11 三、 带交互的恶意对象攻击案例 13 四、 嵌入带毒程序攻击案例 15 第五章 结语 17 第一章 研究背景 电子邮件是人们日常工作中不可或缺的沟通工具，也是获取工作信息或文件的重要通道。 由于电子邮件用户基数庞大，加上反病毒技术的快速发展及免费安全软件的普及，恶意程序 的传播变得越来越困难，所以越来越多的攻击者利用电子邮件为载体，传播恶意程序实施恶 意行为，特别是在一些定向攻击中，更是体现得淋漓尽致。攻击者针对特定目标投递特定主 题及内容的电子邮件来进行攻击，安全意识薄弱的用户很容易中招。 对于鱼叉攻击邮件，为何用户容易中招呢？360 互联网安全中心的安全专家们对这一问 题展开了深入的分析。分析发现，这些鱼叉攻击邮件在制作手法和攻击技术等方面并没有什 么特别之处，也没有采用什么新型技术。但是，此类鱼叉攻击邮件普遍采用了社会工程学的 伪装方法，攻击者会进行精心构造邮件主题、邮件内容及附带的文档名，极具欺骗性、迷惑 性，导致很多用户中招。此外，部分用户安全意识只停留在可执行的恶意程序上，对邮件中 附带的恶意文档防范意识较弱。 鉴于此种情况，360 安全专家对2017 年全球范围内的鱼叉攻击邮件样本进行抽样分析 与研究，形成此报告，希望能够借此帮助更多的用户提高安全意识，对此类鱼叉攻击邮件有 个直观感受，有效防范此类恶意攻击。 需要说明的是：本次报告的研究范围限定在以恶意文档作为附件来进行伪装和攻击的鱼 叉攻击邮件，其中恶意文档主要是指包含了病毒代码或者漏洞利用的伪装性攻击文档