信息來源：比特網(wǎng)

        在上個(gè)月，賽門鐵克發(fā)布了第22期《威脅報(bào)告》，向公眾及IT專業(yè)人士分享了對全球威脅動(dòng)態(tài)、犯罪趨勢和攻擊者動(dòng)機(jī)的分析和洞察。我們可以看到，2016年是網(wǎng)絡(luò)攻擊極其活躍的一年，全球先后發(fā)生多起大型網(wǎng)絡(luò)攻擊事件，例如令人震驚的造成數(shù)千萬美元損失的虛擬銀行劫案，蓄意破壞美國選舉的黑客攻擊，利用物聯(lián)網(wǎng)設(shè)備發(fā)動(dòng)的史上最大規(guī)模的DDoS攻擊，以及近期席卷全球150個(gè)國家的WannaCry勒索軟件攻擊，至今還令人震驚。網(wǎng)絡(luò)攻擊不僅對企業(yè)和個(gè)人用戶造成巨大的損失，甚至對國際政治、全球經(jīng)濟(jì)、民生安全造成不可預(yù)估的危害。

        過去，網(wǎng)絡(luò)攻擊組織主要集中利用零日漏洞發(fā)動(dòng)具有針對性的攻擊。但隨著“漏洞賞金” 計(jì)劃的日益普及，產(chǎn)品在開發(fā)過程中對安全因素的重點(diǎn)關(guān)注，以及國家、企業(yè)和個(gè)人用戶對安全解決方案的采用和部署，攻擊者越來越難發(fā)現(xiàn)和利用零日漏洞，這迫使他們轉(zhuǎn)將視線重新放回到常用攻擊途徑——電子郵件就是其中之一，并且成為2016年最常見的攻擊手段。

電子郵件再度成為攻擊者的首選

        2016年，惡意電子郵件成為各類網(wǎng)絡(luò)攻擊團(tuán)伙的首選 “武器” ，無論是有政府背景的間諜團(tuán)伙，還是電子郵件群發(fā)勒索團(tuán)伙都對其情有獨(dú)鐘。第22期賽門鐵克《互聯(lián)網(wǎng)安全威脅報(bào)告》指出，電子郵件中的惡意軟件比例在2016年出現(xiàn)明顯上升，達(dá)到1:131，成為五年來最高比例。在中國，該情況更為嚴(yán)重，比例為1:63 —— 這意味著，每63封電子郵件中就有一封帶有惡意軟件。此外，利用魚叉式網(wǎng)絡(luò)釣魚電子郵件的商務(wù)電郵詐騙 (BEC)騙局也收到攻擊者的青睞，在 2016 年出現(xiàn)明顯的增加。

圖1. 2016年，惡意郵件比例為近5年最高

來源：第22期《賽門鐵克互聯(lián)網(wǎng)安全威脅報(bào)告》

        賽門鐵克發(fā)現(xiàn)，每天有數(shù)百萬攻擊是通過惡意電子郵件所發(fā)起的。我們的分析得出，惡意電子郵件受到青睞的主要原因是由于該途徑的有效性——首先，電子郵件是當(dāng)今極為重要的通信工具，無論企業(yè)還是個(gè)人都十分依賴電子郵件作為生活和工作的溝通工具。其次，攻擊者只需要通過簡單的欺騙手段便能夠成功誘惑受害者打開附件、點(diǎn)擊鏈接或泄露憑據(jù)，無需任何漏洞就可以完成。

        去年最典型的案例便是在美國大選前夕，黑客使用魚叉式網(wǎng)絡(luò)釣魚郵件入侵希拉里?克林頓的競選團(tuán)隊(duì)主席約翰 ?波德斯塔和前美國國務(wù)卿科林?鮑威爾的電子郵件帳戶。根據(jù)我們的調(diào)研，電子郵件在2016年被廣泛使用于不同類型的復(fù)雜性攻擊活動(dòng)中，另一個(gè)主要的例子是破壞性惡意軟件Shamoon在沉寂四年后的卷土重來，向沙特阿拉伯國家的多個(gè)目標(biāo)發(fā)起大量的攻擊。攻擊者首先向目標(biāo)受害組織中的個(gè)人用戶發(fā)送含有惡意鏈接的魚叉式網(wǎng)絡(luò)釣魚郵件，如果用戶點(diǎn)擊該鏈接，則會(huì)下載類似Word或Excel的文件。一旦打開該文件，Office宏就會(huì)運(yùn)行PowerShell腳本，使攻擊者擁有遠(yuǎn)程訪問的能力，并在受感染計(jì)算機(jī)中執(zhí)行基本偵查任務(wù)。

        電子郵件惡意軟件激增可能與2016年大規(guī)模散播惡意電子郵件犯罪團(tuán)伙的持續(xù)不斷活動(dòng)有關(guān)，我們看到主要傳播的威脅包括：Locky、Dridex 和 TeslaCrypt。其中，金融特洛伊木馬Dridex 主要用于竊取用戶的銀行交易憑據(jù)。Dridex 背后的攻擊者都是專業(yè)人員，他們通過不斷完善惡意軟件，讓這些惡意電子郵件盡可能看上去合法。TeslaCrypt 和 Locky 都屬于勒索軟件，而勒索軟件也是2016年的主要網(wǎng)絡(luò)威脅之一。

        2016年全球受電子郵件惡意軟件威脅影響最多的行業(yè)是批發(fā)業(yè)和農(nóng)業(yè)，但是增長速度最快的是運(yùn)輸業(yè)、金融業(yè)和采礦業(yè)。在中國，受到電子郵件惡意軟件影響最大的行業(yè)是服務(wù)業(yè)(1:59)和金融、保險(xiǎn)及房地產(chǎn)業(yè)(1:122)。不僅如此，在2016年，電子郵件惡意軟件幾乎重創(chuàng)了所有規(guī)模的企業(yè)。根據(jù)我們的統(tǒng)計(jì)，全球范圍來看，中小型企業(yè)(員工人數(shù)在251至500之間)受到的沖擊最大，每95封電子郵件中就有一封包含惡意軟件。在中國，小型企業(yè)(員工人數(shù)在1至250之間)則是重點(diǎn)攻擊對象，每59封電子郵件中就有一封包含惡意軟件。

偽裝 IT工具為攻擊“武器”

        隨著人們對網(wǎng)絡(luò)安全意識的提高，網(wǎng)絡(luò)攻擊者也在不斷改進(jìn)利用郵件的攻擊手段，來確保目標(biāo)在完善電子郵件安全防御前，搶占感染設(shè)備的先機(jī)。

Office宏和PowerShell成為常用的攻擊工具，如上文提到的希拉里團(tuán)隊(duì)競選主席約翰 ?波德斯塔郵箱遭遇入侵的事件。根據(jù)FBI 調(diào)查，黑客并沒有利用任何惡意軟件或漏洞，僅通過一封魚叉式網(wǎng)絡(luò)釣魚郵件，便成功入侵約翰 ?波德斯塔的設(shè)備。該釣魚郵件偽裝成來自 Gmail 官方管理員的郵件，并在郵件中表示：受害人的郵箱可能已經(jīng)受到感染，提示他需要重設(shè)密碼來確保賬戶的安全。該釣魚郵件中包含了一個(gè)短URL來掩飾真正的惡意URL。當(dāng)受害人點(diǎn)擊該URL，就會(huì)進(jìn)入一個(gè)“冒牌”的 Gmail賬戶密碼重置網(wǎng)頁。整個(gè)攻擊過程中，黑客僅通過簡單的社交詐騙技術(shù)，便輕松獲取了目標(biāo)設(shè)備的密碼。

        與此同時(shí)，越來越多的攻擊者選擇使用下載器在目標(biāo)設(shè)備中安裝惡意程序。2016 年，賽門鐵克檢測到大量電子郵件攻擊活動(dòng)，通過惡意Office宏(W97M.Downloader及其變種)和JavaScript下載程序文件(JS.Downloader及其變種)大肆傳播勒索軟件和聯(lián)機(jī)銀行交易威脅。它們在2016年的端點(diǎn)監(jiān)測數(shù)量高達(dá)700萬起。這些下載程序受到攻擊者青睞是有原因的。大多數(shù)企業(yè)不愿意通過電子郵件網(wǎng)關(guān)攔截全部Office文件，因?yàn)檫@樣可能影響合法的電子郵件，這一點(diǎn)是Office宏下載程序廣泛流行的重要原因。同時(shí)，腳本文件的易混淆性可使其躲避檢測，這是JavaScript下載程序泛濫加劇的原因之一。

        Necurs是2016年傳播惡意軟件最瘋狂的僵尸網(wǎng)絡(luò)，通過電子郵件大肆傳播JavaScript、VBS和Office宏等下載程序，并發(fā)起大規(guī)模攻擊活動(dòng)。2016年，Locky等勒索軟件威脅便是通過這樣的方式感染受害設(shè)備，并對受害人進(jìn)行勒索。

圖2. 電子郵件傳播惡意軟件的感染過程

來源：第22期《賽門鐵克互聯(lián)網(wǎng)安全威脅報(bào)告》

簡單有效的社交騙局——BEC詐騙增長勢頭強(qiáng)勁

        上文提到攻擊者在2016年愈發(fā)傾向于采用簡單的工具和看起來平淡無奇的招數(shù)就能夠給企業(yè)和目標(biāo)組織帶來巨大的災(zāi)難。作為社交騙局的其中一種，商務(wù)電郵詐騙(Business Email Compromise)在去年出現(xiàn)顯著的增加。此類攻擊也被稱為 CEO 欺詐或“鯨釣”攻擊。無需任何專業(yè)的技術(shù)手段與能力，詐騙者只需偽裝成企業(yè) CEO 或其他高管，向其員工發(fā)送仿冒電子郵件，隨后要求員工進(jìn)行網(wǎng)上轉(zhuǎn)賬，便可完成攻擊。盡管實(shí)施詐騙的技術(shù)手段并不高明，但犯罪者一旦成功實(shí)施詐騙，便可從中獲得巨大經(jīng)濟(jì)回報(bào)，對相關(guān)企業(yè)造成重大的經(jīng)濟(jì)損失。2016 年年初，奧地利飛機(jī)零件制造商遭遇BEC 詐騙，共造成5000萬美元的財(cái)產(chǎn)損失，隨后該公司立即解雇了CEO。

        2016 年上半年，賽門鐵克發(fā)現(xiàn)超過400 家企業(yè)每天都在遭遇 BEC 詐騙，其中，中小型企業(yè)最易受到攻擊。根據(jù)美國聯(lián)邦調(diào)查局(FBI)的評估結(jié)果顯示，過去三年來，BEC 詐騙共造成全球 30 多億美元的經(jīng)濟(jì)損失，受害者超過 2.2萬名。

        賽門鐵克通過分析2016年所發(fā)布的623起重大惡意電子郵件攻擊活動(dòng)后發(fā)現(xiàn)，BEC騙局所發(fā)送的郵件多是在工作日，郵件主題通常包含 “請求(Request)”、“付款(Payment)”、“緊急(Urgent)”、”發(fā)票(Invoice)”、”訂單(Order)”、”賬單(Bill)”等字樣。其中，“請求”是 BEC 詐騙郵件主題中最常用的關(guān)鍵字(25%)，緊隨其后的分別是“付款” (15%)和“緊急” (10%)。

圖3. BEC詐騙郵件中的常用主題與關(guān)鍵字

來源：第22期《賽門鐵克互聯(lián)網(wǎng)安全威脅報(bào)告》

        使用金融關(guān)鍵字發(fā)起攻擊已經(jīng)成為惡意電子郵件攻擊的特征之一。這一發(fā)現(xiàn)表明，攻擊者利用這種手段的成功率非常高。由于大多數(shù)企業(yè)每天都會(huì)收到大量來自客戶和供應(yīng)商的常規(guī)業(yè)務(wù)郵件，因此一旦這些電子郵件成功躲避安全軟件，用戶十分容易受到蒙蔽，從而點(diǎn)擊郵件。由于BEC騙局的利益回報(bào)率十分誘人，因此我們預(yù)計(jì)，在2017 年，此類詐騙將會(huì)繼續(xù)呈現(xiàn)增長勢頭。

電子郵件成為勒索軟件感染個(gè)人的主要途徑之一

        2016 年，勒索軟件成為個(gè)人和企業(yè)所面臨的重大網(wǎng)絡(luò)威脅之一。而通過偽裝成企業(yè)通知或發(fā)票等常規(guī)業(yè)務(wù)溝通內(nèi)容的惡意電子郵件成為勒索軟件傳播的熱門途徑。2016 年，勒索軟件團(tuán)伙利用Necurs僵尸網(wǎng)絡(luò)每天發(fā)出上萬封惡意電子郵件。而多數(shù)如Locky (Ransom.Locky) 這樣廣泛傳播的勒索軟件都是通過電子郵件進(jìn)行散播。許多情況下，受害者會(huì)收到一封主題為企業(yè)發(fā)票或收據(jù)的郵件，該郵件會(huì)以精心纂寫的內(nèi)容誘使收件人打開惡意附件，與此同時(shí)，惡意下載程序便會(huì)下載并將勒索軟件安裝在設(shè)備中，隨即開始加密計(jì)算機(jī)上已預(yù)編程的一系列文件，然后實(shí)施勒索。大多數(shù)最新的勒索軟件家族使用強(qiáng)密碼手段，這就意味著，受害者在沒有加密密鑰的情況下幾乎不可能打開被加密文件。由于勒索軟件變種會(huì)不定期出現(xiàn)，我們強(qiáng)烈建議用戶對尤其包含URL和附件的未知電子郵件保持警惕。

圖4.垃圾郵件攻擊是勒索軟件威脅的主要傳播途徑之一

來源：第22期《賽門鐵克互聯(lián)網(wǎng)安全威脅報(bào)告》

        利用電子郵件發(fā)動(dòng)網(wǎng)絡(luò)攻擊數(shù)據(jù)的增長表明，攻擊者正在利用這種方式大發(fā)橫財(cái)，我們預(yù)計(jì)在未來一年，電子郵件依然會(huì)繼續(xù)成為網(wǎng)絡(luò)攻擊的主要途徑之一。

賽門鐵克的安全防護(hù)建議：

        隨著攻擊者開始大規(guī)模使用電子郵件替代漏洞工具傳播惡意軟件，并實(shí)施攻擊，賽門鐵克建議企業(yè)與用戶應(yīng)該采取以下措施來抵御利用電子郵件所傳播的安全威脅：

· 安裝全方位安全保護(hù)解決方案，有效抵御經(jīng)由電子郵件所傳播的威脅。例如 Symantec Email Security.cloud 可以攔截電子郵件所攜帶的威脅，而 Symantec Endpoint Protection 則可以攔截端點(diǎn)上的惡意軟件。

· 刪除可疑電子郵件，特別是一些包含鏈接或附件的郵件。

· 時(shí)刻警惕任何建議用戶啟用宏來查看內(nèi)容的Microsoft Office電子郵件附件。若無法確定電子郵件來源真實(shí)可靠，請勿啟用宏，并立即刪除郵件。

· 保持電腦操作系統(tǒng)及其他軟件處于最新狀態(tài)。軟件更新所用的補(bǔ)丁通常用于處理新發(fā)現(xiàn)的安全漏洞，如果處理不及時(shí)可能會(huì)被攻擊者非法利用。

· 對于不按常規(guī)程序要求進(jìn)行的一些行為保持警惕。

· 請直接從公司通訊錄中獲取真實(shí)發(fā)件人的電子郵件進(jìn)行回復(fù)，而不是簡單地點(diǎn)擊回復(fù)按鈕，以確保回復(fù)線程的安全。

· 強(qiáng)制要求所有員工執(zhí)行有效的密碼策略，務(wù)必采用強(qiáng)密碼，并經(jīng)常更換。

· 請勿使用電子郵件中的鏈接連接到網(wǎng)站，除非用戶能確定這些鏈接的真實(shí)性。請將 URL 直接輸入到地址欄中，確保連接到合法網(wǎng)站，而不是一個(gè)地址類似的錯(cuò)誤地址。