根據IBM《2020年X-Force威脅情報指數》顯示，2019年企業(yè)遭受的非法攻擊中，釣魚(yú)郵件已經(jīng)連續兩年成為頭號黑客初始攻擊媒介，占比31%。而這一手段在近年來(lái)的“網(wǎng)絡(luò )攻防演練行動(dòng)”中尤為明顯，因企業(yè)員工眾多，安全意識薄弱，攻擊方可以通過(guò)swaks偽造管理員發(fā)送釣魚(yú)郵件，或者編造一個(gè)理由加密發(fā)送一個(gè)宏病毒等方式快速進(jìn)入企業(yè)內部。

釣魚(yú)郵件常見(jiàn)攻擊形式

釣魚(yú)郵件是一種利用社會(huì )工程手法的攻擊手段，其關(guān)鍵點(diǎn)在于對受攻擊者心理狀態(tài)的掌握以及受攻擊者的疏忽程度。對于常見(jiàn)的攻擊形式主要有以下兩種：

1、惡意鏈接

通過(guò)在郵件正文中放入一個(gè)惡意誘導鏈接，誘導用戶(hù)進(jìn)行點(diǎn)擊，鏈接后面是一個(gè)偽造的網(wǎng)站，可能是一個(gè)惡意程序下載或者一個(gè)用于偽造的登錄入口等。

2、附件藏毒

攻擊者的payload含在郵件附件里，載體中包含有惡意文檔、圖片、壓縮包、腳本程序等。攻擊者會(huì )使用一些偽裝手段避免攔截或識破，如使用超長(cháng)文件名隱藏后綴或使用RLO技術(shù)進(jìn)行文件名欺騙等。

釣魚(yú)郵件傳統檢測方法

根據郵件的發(fā)送和接收過(guò)程，對釣魚(yú)郵件的檢測通常有兩種方法：

1、 郵件網(wǎng)關(guān)檢測

通過(guò)在郵件網(wǎng)絡(luò )入口部署郵件網(wǎng)關(guān)型產(chǎn)品，通過(guò)定義規則對已知釣魚(yú)郵件進(jìn)行過(guò)濾，包括定義規則庫、特征庫、郵件頭檢測、黑白名單、頻率檢測、超鏈接檢測、域名檢測等。

2、 終端殺毒軟件檢測

殺毒軟件利用病毒庫和對郵件附件的掃描功能對已知釣魚(yú)郵件進(jìn)行檢測。擁有威脅情報能力和沙箱能力的殺毒軟件通過(guò)威脅情報碰撞郵件附件MD5信息和惡意URL信息，并對可疑的文件投放到沙箱中進(jìn)行動(dòng)態(tài)檢測。

針對傳統釣魚(yú)郵件的防御，通過(guò)以上兩種方法已經(jīng)可以實(shí)現大多數的檢測。但從根本上看，兩種方法還是通過(guò)傳統規則特征的形式進(jìn)行識別，并且缺乏對攻擊方式溯源的能力，而在“網(wǎng)絡(luò )攻防演練行動(dòng)”中的攻擊，或對企業(yè)針對性的攻擊時(shí)，攻擊者往往會(huì )利用各種0day攻擊、無(wú)文件攻擊、特征庫繞過(guò)等手段，使傳統檢測手段形同虛設。同時(shí)，企業(yè)也需要深入了解攻擊路徑，及時(shí)彌補漏洞。

聯(lián)軟UniEDR：基于行為分析的釣魚(yú)郵件檢測

釣魚(yú)郵件的攻擊最終是要落地到員工終端上進(jìn)行操作的，根據這一特點(diǎn)，聯(lián)軟UniEDR通過(guò)對終端內部多行為進(jìn)行關(guān)聯(lián)分析實(shí)現，補充了傳統檢測手段的不足。

以下是聯(lián)軟UniEDR終端檢測與響應系統捕獲的一起通過(guò)郵件附件釣魚(yú)的真實(shí)事件：

1、攻擊者向內網(wǎng)散布釣魚(yú)郵件，郵件偽裝成漏洞修復通知，攻擊者利用這一點(diǎn)誘使用戶(hù)下載惡意壓縮包文件。

2、用戶(hù)解壓文件后點(diǎn)擊《漏洞修復說(shuō)明.doc》，包含在Word文檔里的宏病毒開(kāi)始運行。

聯(lián)軟UniEDR系統通過(guò)對終端進(jìn)程行為、網(wǎng)絡(luò )行為的監控，發(fā)現WINWORD.EXE啟動(dòng)rundll32.exe，并與遠程網(wǎng)絡(luò )52.109.120.29進(jìn)行了連接。

3、而后，又通過(guò)調用Powershell.exe和whoami.exe進(jìn)程進(jìn)行環(huán)境探測，利用net命令新建賬戶(hù)hacker做持久化攻擊。

4、 根據對文件“漏洞修復說(shuō)明.doc”進(jìn)行溯源分析，發(fā)現是由Outlook郵件客戶(hù)端下載而來(lái)，認定是一起郵件釣魚(yú)事件。并根據告警事件生成安全告警詳情報告，通知管理員進(jìn)一步作決策。

從事件中可以看出，聯(lián)軟UniEDR可以通過(guò)全量、深度的終端數據采集，對終端發(fā)生的行為數據關(guān)聯(lián)分析，發(fā)現各行為間關(guān)聯(lián)關(guān)系，利用威脅檢測模型，識別郵件釣魚(yú)行為，并可視化的展現攻擊過(guò)程和路徑。

面對釣魚(yú)郵件的威脅時(shí)，聯(lián)軟UniEDR系統不僅可以快速檢測釣魚(yú)郵件攻擊，并且由于聯(lián)軟UniEDR系統是基于聯(lián)軟EPP終端安全管理系統的一體化平臺，威脅處置后，還可利用EPP終端安全管控系統即時(shí)針對性修復漏洞，規范終端行為，通過(guò)消息通知、屏保、壁紙等手段，提高員工安全意識。