01

钓鱼攻击频发，企业安全风险愈加严峻

今年3月，电子邮件安全解决方案提供商Cofense发布的《2023年电子邮件安全报告》^[1]显示， 2022年钓鱼邮件增加了569%，与钓鱼相关的威胁增加了478%，钓鱼邮件传播的恶意软件增加了44%。另外安天在为客户提供威胁应急响应时也发现钓鱼攻击事件数量呈现增长趋势,尤其是针对一些重要的党政机关、科研机构等，钓鱼邮件也是一种常见的攻击手段。

通过综合2022年全球钓鱼邮件攻击相关数据分析，每1000个邮箱，平均每月遭受的邮件攻击数量近300次，其中钓鱼攻击为主要攻击方式，相比2021年全年增加12.36%。

同时，根据麦赛邮件安全实验室（MailSec Lab）的监测数据显示，中国在2022年遭受的钓鱼邮件攻击数量居世界第二位，相比2021年的增长达到了78%^[2]。

02

钓鱼攻击防御难点分析

钓鱼攻击核心是利用社工手段，诱导攻击目标运行攻击载荷或者访问仿冒网站已经成为攻击目标。相较于其他攻击方式，钓鱼攻击的防御难点主要包括以下两点：

1

企业的“暴露面”难以进行约束和管理

传统意义上的暴露面是指终端系统开放的服务与可访问端口，但企业中办公人员也是一种特殊的“暴露面”，办公人员因工作需要，经常使用企业邮箱、个人邮箱、即时通信工具、浏览器等办公软件，而这类软件经常与外部网络进行通信，故存在被攻击者利用的风险，甚至是击穿办公内网的主要手段。攻击者会基于攻击目标的工作内容、兴趣爱好等设计有迷惑性的内容，尤其是攻击目标价值越高迷惑性也越强，而办公人员的安全意识难以始终保持高度警惕，给予攻击者可乘之机。

2

钓鱼攻击隐蔽性强，传统防御方式难以检测

以钓鱼攻击中常见的钓鱼邮件为例，攻击者并非直接向用户发送攻击文件，而是发送诱饵文件，诱饵文件通常是混淆文件或者包含宏病毒的文档，这类文件不具备直接攻击行为且极易变种，导致常规病毒检测手段难以实现精准查杀。

03

钓鱼攻击的常见攻击方式举例

1

邮件正文插入恶意链接

攻击者在钓鱼邮件的正文中、附件PDF文件中嵌入了不同类型的恶意链接，当目标查阅钓鱼邮件后便会被攻击者精心设计的邮件正文、PDF文件内容诱骗，从而点击恶意链接下载具有恶意宏代码的文档。

案例：

从2021年下半年至今，安天CERT陆续捕获到Confucius组织针对巴基斯坦进行攻击的样本文件，如下图所示,仿冒政府网站的钓鱼网站访问链接：攻击者利用HTTrack等网站克隆工具，搭建仿冒政府部门官网的钓鱼网站，当目标通过钓鱼网站访问链接访问钓鱼网站时，攻击者通过网站内容诱骗目标下载携带恶意宏的文档。

图3-1 仿冒巴基斯坦国防大学学报的钓鱼网站

2

邮件附件包含恶意代码

攻击者向目标发送包含有恶意代码附件的钓鱼邮件，诱导用户运行。通常附件类型是混淆格式的可执行文件（例如将可执行文件图标更换为文档图标）或者包含有宏病毒的文档，诱饵文件会从网络下载攻击载荷，并且通过漏洞利用攻击、无文件攻击、利用系统文件加载病毒等高威胁方式执行攻击行为，而常规病毒查杀很难有效防御以上攻击手段。

案例模拟：

基于某客户防护案例，我们将攻击过程进行模拟，其中攻击者针对目标用户投放钓鱼邮件，邮件的主题为某项目报价邀请函，并在邮件的正文中给出了关于投标该项目的说明。该邮件存在两个附件：一个html文件和一个压缩包文件。其中html文件是一个钓鱼网页，伪装成在线表单，用于窃取用户的邮箱密码；同时压缩包中含有一个VBS脚本，用于执行GuLoader加载器并向目标系统投递AgentTesla窃密木马。

图3‑2 钓鱼邮件内容

04

安天智甲家族产品助力用户有效防御钓鱼邮件攻击

钓鱼邮件最终需在终端上落地和运行，在终端建立有效的防御机制是达成钓鱼防御目标的重要抓手。智甲依托于安天自主研发的威胁检测引擎，通过病毒查杀、宏病毒专杀、虚拟补丁、主动防御、勒索专项防御和分布式防火墙等能力进行全方位的钓鱼邮件攻击防御。

1

病毒查杀模块自动、精准查杀病毒、混淆文件

钓鱼攻击中攻击者会利用邮件附件等方式向目标投递病毒文件，并且利用文件名称诱导、格式混淆等方式诱导用户执行。智甲的病毒查杀能力对终端新增文件具备自动检测能力，可精准查杀变种木马和可疑混淆格式文件，可检测文件真实格式与图标匹配度，对可疑和恶意文件进行告警和清除。

2

宏病毒专杀模块限制可疑宏代码运行

利用文档的宏下载病毒文件或者执行恶意代码也是钓鱼攻击中一种常见方式，智甲具有宏病毒专杀能力，对本地文档可快速完成批量筛查，并自动剥离和清除文档中宏病毒代码。同时，智甲支持一键限制宏代码运行，提高文档使用安全性。

3

虚拟补丁模块拦截漏洞利用攻击

在钓鱼邮件攻击中，攻击者常用“如利用Office文档溢出漏洞”的攻击方式，智甲的虚拟补丁能力，通过调用关系检查、敏感文件调用检测和系统输入参数检测等方式在未更新补丁的终端上，实现对特定漏洞的利用攻击防御。

4

内核级主动防御模块有效应对无文件攻击

无文件攻击是一种不会在目标系统的磁盘上留下可执行文件，而是利用系统内置的工具或脚本直接在内存中执行恶意代码的一种攻击手段，其特点是难以通过传统的病毒查杀手段进行防御。近几年钓鱼攻击中利用无文件攻击手段的事件呈现快速增长趋势。

智甲的主动防御模块，能够实时监控终端内存空间活动，通过栈回溯、堆检测等机制快速准确识别恶意攻击行为，配合着内存检测引擎可以快速识别加密或解密后的内存特征码，实现快速感知恶意行为，有效防御无文件攻击。

5

分布式防火墙对主机恶意流量进行精准检测

钓鱼邮件中还会存在利用仿冒网站、C2等方式获取用户隐私数据或者下载恶意代码，智甲的分布式防火墙模块，实时监控和检测主机网络流量，同时基于安天智甲出厂预装的威胁情报库，可对邮件发送人地址、访问URL等进行识别和鉴定，对恶意流量进行告警和拦截。

6

面对利用钓鱼方式的勒索病毒攻击建立专项防护毒

攻击者常会以钓鱼邮件为突破口对目标进行勒索攻击，智甲的勒索病毒专项防护能力，基于特有勒索病毒行为特征库对进程行为进行实时检测，一旦发现进程存在勒索行为可立即阻断，以此防御各类未知勒索病毒，同时具备文件自动备份能力，即使用户环境受损也可以恢复重要数据。

图4‑1 安天智甲终端防御系统拦截与处置日志

参考资料：

[1]2023 ANNUAL STATE OF EMAIL SECURITY REPORT

https://cofense.com/wp-content/uploads/2023/03/2023-Annual-Report-Cofense.pdf

[2] MailSec Lab发布2022年度全球邮件安全威胁报告及2023年邮件安全趋势预测

http://www.safenext.com/newsinfo/5143683.html