《360:2017中国企业邮箱安全性研究报告(48页)(48页).pdf》由会员分享,可在线阅读,更多相关《360:2017中国企业邮箱安全性研究报告(48页)(48页).pdf(48页珍藏版)》请在三个皮匠报告上搜索。
1、 2017 中国企业邮箱安全性 研究报告 2018 年 5 月 8 日 主要观点 电子邮箱的电子邮箱的使用使用 电子邮件是政企机构办公的重要工具。 截止 2017 年 12 月, 活跃的中国政企机构独立邮 箱域名约为 500 万个,中国境内企业级电子邮箱活跃用户规模约为 1.2 亿。全国企业级 电子邮箱用户平均每天收发到电子邮件约 16.1 亿封。 对比独立邮箱域名注册量和邮件发送量,可以看出,就单个政企机构而言,教育培训, 媒体、科研机构、医疗卫生等行业对邮件办公的依赖度最高。 非非正常邮件正常邮件的的收发收发 在企业级电子邮箱用户收发的邮件中,正常邮件占比约为25.4%,普通垃圾邮件占比
2、为 64.7%、钓鱼邮件 4.08%、带毒邮件 2.12%、谣言反动邮件 2.23%,色情、赌博等 违法信息推广邮件约 1.47%。也就是说,2017 年,在邮件系统收发的邮件中,仅有 约 1/4 为正常邮件,垃圾邮件及其他各类非法、恶意邮件等非正常邮件的数量,是 正常邮件数量的三倍左右。 来自国内的垃圾邮件发送者最多,占总量约 30.4%,来自巴西次之,占总量约 27.1%, 第三是美国,约占 9.6%。 钓鱼邮件的发送者遍布全球,其中,来自巴西的钓鱼邮件最多,占国内企业用户收到的 钓鱼邮件的 39.4%;其次是捷克,约占 9.6%;中国排名第三,约占 8.7%。 僵尸网络僵尸网络 2017
3、 年下半年, 僵尸网络开始被大量的应用于垃圾邮件攻击。 在 2017 年 Coremail 论客 截获的所有垃圾邮件中, 至少有 10%以上的垃圾邮件是由僵尸网络产生。 与传统的垃圾 邮件攻击方式不同, 使用僵尸网络发送垃圾邮件的攻击者并非是通过少数被控制的邮箱 集中大量发送内容完全相同的电子邮件, 而是通过其控制的大量散布在全球各地的各类 电子邮箱, 分时、 分布式的发送大量内容并不完全相同, 但具有一定相关性的垃圾邮件。 僵尸网络发送垃圾邮件的特点, 使得大多数传统的反垃圾邮件网关及传统的反垃圾邮件 策略难以奏效。 只有通过大数据关联分析技术, 才能发现此类攻击的踪迹并进行有效的 防护。预
4、计未来 1-2 年内,僵尸网络有可能成为最主要的垃圾邮件发送源。 鱼鱼叉邮件叉邮件 针对鱼叉攻击邮件的抽样分析显示,以订单类为主题的鱼叉攻击邮件最多,占比高达 39.8%,排名第二的主题是支付类,占比为 19.4%。 攻击者通过鱼叉邮件最喜欢攻击的是各个企业,占比高达 61.5%,其次为金融机构,占 比为 14.7%,排名第三的是政府机构,占比为 7.1%。 在鱼叉邮件攻击中, 攻击者在邮件中最喜欢携带的文档为Office文档, 占比高达65.4%, 其次为 RTF(Rich Text Format)文档占比达到了 27.3%。 通过对摩诃草组织及国内某特殊行业工业企业遭到鱼叉邮件攻击的分析可
5、以发现, 攻击 者大量使用社会工程学手法,邮件极具迷惑性,普通人很难识破。 摘 要 截止 2017 年 12 月, 活跃的中国政企机构独立邮箱域名约为 500 万个, 中国境内企业级 电子邮箱活跃用户规模约为 1.2 亿。 2017 年,全国企业级电子邮箱用户共收发各类电子邮件约 5861.9 亿封,平均每天收发 到电子邮件约 16.1 亿封。 其中, 正常邮件占比约为25.4%, 普通垃圾邮件占比为 64.7%、 钓鱼邮件 4.08%、带毒邮件 2.12%、谣言反动邮件 2.23%,色情、赌博等违法信息推 广邮件约 1.47%。 如果从正常邮件的发送量上来看, 工业制造和教育培训机构发送的邮
6、件数量最多, 占比 均为 16.7%;其次是媒体占比为 13.7%,交通运输行业占比 10.6%。对比独立邮箱域名 注册量和邮件发送量,可以看出,就单个政企机构而言,教育培训,媒体、科研机构、 医疗卫生等行业对邮件办公的依赖度最高。 从国内企业级邮箱的活跃用户数量来看, 广州用户最多,占全国用户数的 10.6%;其 次为北京,占全国用户数的 9.9%;上海排第三,占全国用户的 7.0%。 2017 年,全国企业级邮箱用户共收到各类垃圾邮件约 3792.6 亿封,约占企业级用户邮 件收发总量的 64.7%,是企业级用户正常邮件数量的 2.5 倍。全国企业级用户平均每天 收到约 10.4 亿封各类
7、垃圾邮件。 从发送者邮箱域名归属情况来看,来自国内的垃圾邮件最多,占总量约 30.4%,来自巴 西的垃圾邮件次之,占总量约 27.1%,第三是美国,约占 9.6%。如果从发送垃圾邮件的 服务器 IP 归属地来看,美国排名第一占国内企业级用户收到垃圾邮件总量的 49.6%; 中国第二,占垃圾邮件总量的 38.4%。 对发送垃圾邮件的邮箱域名进行抽样行业分析显示, 来自在华境外机构的域名占比最高, 为 35.5%;其次是工业制造,占比 12.4%;互联网企业排第三,占比 7.8%。 2017 年下半年, 僵尸网络开始被大量的应用于垃圾邮件攻击。 在 2017 年 Coremail 论客 截获的所有
8、垃圾邮件中,至少有 10%以上的垃圾邮件是由僵尸网络产生。 2017 年, 全国企业级邮箱用户共收到各类钓鱼邮件约 239.2 亿封, 约占企业级用户邮件 收发总量的4.08%,平均每天约有 6553.4 万封钓鱼邮件被发出和接收。 钓鱼邮件的发送者遍布全球,其中,来自巴西的钓鱼邮件最多,占国内企业用户收到的 钓鱼邮件的 39.4%;其次是捷克,约占 9.6%;中国排名第三,约占 8.7%。 从收到钓鱼邮件的用户分布来看,浙江省受害者最多,有 39.7%的钓鱼邮件被发送至浙 江用户;另有约 25.2%的钓鱼邮件被发送给广东用户;约 14.6%的钓鱼邮件被发送给北 京用户。 2017 年,全国企
9、业级用户共收到约 124.3 亿封带毒邮件,约占 2017 年企业级邮箱用户 收发邮件总量的 2.12%。平均每天约有 3404.7 万封带毒邮件被发出和接收。 通过对 2017 年鱼叉攻击邮件抽样分析统计显示, 以订单类为主题的鱼叉攻击邮件最多, 占比高达 39.8%,排名第二的主题是支付类,占比为 19.4%。 攻击者通过鱼叉邮件最喜欢攻击的是各个企业,占比高达 61.5%,其次为金融机构,占 比为 14.7%,排名第三的是政府机构,占比为 7.1%。 从鱼叉邮件攻击地区知道,受攻击地区主要集中在亚洲、北美洲、欧洲,占比分别为 29.8%、 23.1%、21.9%。 在鱼叉邮件攻击中, 攻
10、击者在邮件中最喜欢携带的文档为Office文档, 占比高达65.4%, 其次为 RTF(Rich Text Format)文档占比达到了 27.3%。 抽样统计显示,通过宏代码来运行恶意载荷所占比例最大,达到了 59.3%,其次是通过 系统漏洞来执行恶意代码的方式,占比为 36.3%。 通过统计鱼叉攻击邮件携带的载荷发现,下载者木马占据第一,占比为 38.3%,排名第 二和第三的分别是远控木马、信息盗取木马,占比达到了 23.7%和 13.9%。 关键词:关键词:企业邮箱、垃圾邮件、带毒邮件、钓鱼邮件、鱼叉邮件 目 录 第一章 电子邮箱的使用与规模 . 1 一、 电子邮箱的使用规模 . 1 二
11、、 电子邮箱用户行业分布 . 2 三、 电子邮件的地域分布 . 3 四、 电子邮件的时域分布 . 4 第二章 垃圾邮件 . 6 一、 垃圾邮件的规模 . 6 二、 垃圾邮件发送源 . 6 三、 垃圾邮件受害者 . 8 四、 垃圾邮件时域分布 . 9 五、 垃圾邮件与僵尸网络 . 11 第三章 钓鱼邮件 . 13 一、 钓鱼邮件的规模 . 13 二、 钓鱼邮件发送源 . 13 三、 钓鱼邮件受害者 . 13 四、 钓鱼邮件时域分布 . 14 第四章 带毒邮件 . 17 第五章 鱼叉邮件的全球攻击 . 19 一、 概述 . 19 二、 鱼叉攻击邮件综合分析 . 19 (一) 邮件主题分析 . 19
12、 (二) 攻击行业分析 . 20 (三) 攻击地区分析 . 21 (四) 发件邮箱分析 . 22 三、 鱼叉攻击邮件携带文档分析 . 23 (一) 携带文档类型 . 23 (二) 攻击触发方式 . 23 (三) 最终攻击载荷 . 24 四、 鱼叉攻击邮件携带文档攻击案例. 25 (一) 利用漏洞攻击案例 . 25 (二) 带毒宏攻击案例 . 28 (三) 带交互的恶意对象攻击案例 . 29 (四) 嵌入带毒程序攻击案例 . 31 第六章 国内鱼叉邮件攻击典型案例 . 33 一、 摩诃草组织的鱼叉邮件攻击 . 33 二、 针对某特殊行业工业企业的鱼叉邮件攻击 . 34 (一) 仿冒 OA 钓鱼
13、. 34 (二) 带毒邮件附件 . 35 附录 1 2017 年中国十大电子邮箱弱密码 . 37 附录 2 2017 年全球十大电子邮件安全事件 . 38 一、 谷歌被令交出国外服务器上的电子邮件 . 38 二、 雅虎又泄露 3200 万账户数据 . 38 三、 黑客以公布电子邮件要挟社会团体 . 38 四、 黑客在暗网上兜售 2000 多万个 GMAIL账户 . 38 五、 美国两家科技公司被欺诈邮件骗取 1 亿美元. 38 六、 NECURS僵尸网络重操旧业发送垃圾邮件 . 39 七、 丹麦称国防部和外交部邮箱遭俄黑客入侵 . 39 八、 加拿大贝尔 190 万个邮箱地址遭黑客窃取 . 3
14、9 九、 富国银行发错邮件导致 5 万客户信息泄露 . 39 十、 美国新型税务邮件诈骗来袭 . 39 附录 3 第三方电子邮件安全研究成果摘要 . 40 一、 电子邮件欺诈增长 2370% . 40 二、 勒索软件已成最流行的邮件投递恶意程序 . 40 三、 银行木马 URSNIF通过垃圾邮件进行传播 . 40 四、 全球约 1/3 大企业 CEO 的邮箱账户和密码可能遭泄露 . 40 五、 邮件地址解析漏洞影响全球 33 家邮件服务商 . 40 六、 两种模拟钓鱼攻击的点击率接近 100% . 41 七、 全球过半互联网邮件服务器受严重漏洞影响. 41 附录 4 各国最新电子邮件安全政策参
15、考摘要 . 42 一、 美国众议院通过对电子邮件新的隐私保护法案 . 42 二、 美国国家犯罪局(NCA)力推 DMARC 协议 . 42 三、 美 DHS 发布新规强化 WEB安全和邮件安全 . 42 1 第一章 电子邮箱的使用与规模 一、 电子邮箱的使用规模 根据 Coremail 论客与 360 威胁情报中心的联合监测,同时综合网易、腾讯、阿里巴巴 等主流企业级邮箱服务提供商的公开数据进行分析评估, 截止 2017 年 12 月, 活跃的中国政 企机构独立邮箱域名约为 500 万个,中国境内企业级电子邮箱活跃用户规模约为 1.2 亿。 从电子邮箱的使用情况来看,2017 年,全国企业级电
16、子邮箱用户共收发各类电子邮件 约 5861.9 亿封,平均每天收发到电子邮件约 16.1 亿封。其中,正常邮件占比约为25.4%, 普通垃圾邮件占比为 64.7%、钓鱼邮件 4.08%、带毒邮件 2.12%、谣言反动邮件 2.23%, 色情、赌博等违法信息推广邮件约 1.47%。也就是说,2017 年,在邮件系统收发的邮件 中, 仅有约 1/4 为正常邮件, 垃圾邮件及其他各类非法、 恶意邮件等非正常邮件的数量, 是正常邮件数量的三倍左右。 仅就正常邮件而言,统计显示,全国企业级邮箱用户在 2017 年共收发正常电子邮件约 1488.9 亿封,平均每天发送正常电子邮件约 4.08 亿封,人均每
17、天发送电子邮件约 3.4 封。不 同于个人邮箱,企业级邮箱的主要用途是办公。因此,同一机构内部邮件互发往往会比较频 繁。抽样统计显示,企业用户发送的电子邮件中,约 30.8%为机构内部邮件,21.4%为外部 邮件,47.8%为内外通发邮件(收件人既有机构内部,也有机构外部) 。 2 二、 电子邮箱用户行业分布 对中国政企机构独立邮箱域名的抽样分析显示,工业制造类企业注册的邮箱域名最多, 占比为 27.6%,其次是交通运输行业占比 9.3%,外资机构占比 8.6%;还有 IT 信息技术占比 6.1%,互联网企业占比 5.9%,金融行业占比 5.6%等,这些都属于电子邮箱使用独立域名较 多的行业。
18、 如果从正常邮件的发送量上来看, 工业制造和教育培训机构发送的邮件数量最多, 占比 均为 16.7%;其次是媒体占比为 13.7%,交通运输行业占比 10.6%;还有 IT 信息技术占比 5.6%,科研机构占比 5.5%,互联网企业占比 4.4%,金融行业占比 4.3%,也都是邮件发送量 较多的行业。 对比独立邮箱域名注册量和邮件发送量,可以看出,就单个政企机构而言,教育培训, 媒体、科研机构、医疗卫生等行业对邮件办公的依赖度最高。 特别的,本次报告对.edu(教育) 、.org(组织机构)和.gov(政府)三个域名的邮箱使 3 用情况进行了分析。其中,.edu 邮箱域名在全国占比为 4.53
19、%,.org 和.gov 的邮箱域名占比 均约为 0.99%。而从正常邮件发送量上来看,.edu 邮箱占 13.5%,.org 邮箱占 0.85%,.gov 邮 箱占 0.57%。 三、 电子邮件的地域分布 统计显示,中国政企机构使用的企业级邮箱的服务器呈现出少数地区高度集中的状态。 从邮箱域名数量统计来看, 约半数以上的企业级邮箱服务器设在杭州 (53.0%) ; 其次是北京, 占比为 16.3%;深圳排第三,占比为 10.0%。下图给出了中国企业级邮箱服务器城市分布情 况。 而从国内企业级邮箱的活跃用户数量来看, 广州用户最多,占全国用户数的 10.6%; 其次为北京,占全国用户数的 9.
20、9%;上海排第三,占全国用户的 7.0%。下图给出了中国企 业级邮箱活跃用户数排名全国 TOP10 的城市及其用户数在全国的占比。 4 四、 电子邮件的时域分布 根据 Coremail 论客与 360 威胁情报中心的联合监测显示,2017 年 3 月是企业用户正常 电子邮件收发量的全年高峰,其次是 11 月和 9 月。而从非正常邮件(包括垃圾邮件、钓鱼 邮件、带毒邮件、违法邮件等)收发量来看,10 月是 2017 年的最高峰,其次是 11 月和 9 月。下图给出了 2017 年中国企业级邮箱用户每月邮件收发量分布情况。 以一周七天为周期进行分析可以发现,周三、周四是企业用户正常电子邮件收发的高
21、 峰期,而周六、周日的发送的正常电子邮件则非常少。非正常邮件每周的发送高峰也在周 三和周四,但周六和周日也保持了较高的发送量。下图给出了中国企业级邮箱用户每周邮 件收发量分布情况。 5 以一天 24 小时(仅限工作日)为监测周期进行分析可以发现,正常邮件在工作日的上 午和下午各有一个收发高峰期, 而非正常邮件的收发量在全天都比较均衡, 且凌晨 0 点-2 点 的收发量相对其他时段更高一些。 6 第二章 垃圾邮件 一、 垃圾邮件的规模 根据 Coremail 论客与 360 威胁情报中心的联合监测评估,2017 年,全国企业级邮箱用 户共收到各类垃圾邮件(不包括钓鱼邮件、违法邮件和带毒邮件等)约
22、 3792.6 亿封,约占 企业级用户邮件收发总量的 64.7%,是企业级用户正常邮件数量的 2.5 倍。全国企业级用户 平均每天收到约 10.4 亿封各类垃圾邮件。 二、 垃圾邮件发送源 Coremail 论客与 360 威胁情报中心对垃圾邮件的发送源头进行了分析。 从发送者邮箱域 名归属情况来看, 来自国内的垃圾邮件最多, 占总量的约 30.4%, 来自巴西的垃圾邮件次之, 占总量约 27.1%,第三是美国,约占 9.6%。 如果从发送垃圾邮件的服务器 IP 归属地来看,美国排名第一。来自美国邮件服务器的 垃圾邮件占国内企业级用户收到垃圾邮件总量的 49.6%,接近一半;中国排名第二,国内
23、邮 件服务器发送的垃圾邮件占垃圾邮件总量的 38.4%。二者之和约为垃圾邮件总量的 88.0%。 7 仅就国内情况来看,根据发送者的域名归属地来看,来自北京的垃圾邮件发送者最多, 占国内垃圾邮件发送总量的 21.6%,其次为广东省,占 15.7%,浙江省,占 14.8%。下图给 出了国内垃圾邮件发送源域名归属省份 TOP10 及其垃圾邮件发送量占比情况。 8 下图给出了国内垃圾邮件发送源域名归属城市 TOP10 及其邮件发送量占比情况。 对发送垃圾邮件的邮箱域名进行抽样行业分析显示, 来自在华境外机构的域名占比最高, 为 35.5%;其次是工业制造,占比 12.4%;互联网企业排第三,占比 7
24、.8%。下图给出了国内 垃圾邮件发送源行业分布。 三、 垃圾邮件受害者 从收到垃圾邮件的受害者服务器所在地来看, 浙江省用户收到的垃圾邮件最多, 共收到 了占比高达全国 35.0%的垃圾邮件;其次为广东省,收到了全国 16.8%的垃圾邮件;北京排 名第三,收到了全国 15.5%的垃圾邮件。下图给出了国内企业级邮箱用户中垃圾邮件受害者 的省级行政分布 TOP10。 9 从城市来看,北京用户收到的垃圾邮件最多,收到了全国约15.5%的垃圾邮件。其次 是杭州用户,收到了全国 13.0%的垃圾邮件。深圳用户排第三,收到了全国 5.9%的垃 圾邮件。下图给出了国内企业级邮箱用户垃圾邮件受害者城市分布 T
25、OP10。 四、 垃圾邮件时域分布 根据 Coremail 论客与 360 威胁情报中心的联合监测显示,2017 年,垃圾邮件的发送高 峰出现在 10 月,占比达全年的 13.0%;1 月最低,全年占比为 4.8%。下图给出了 2017 年国 内垃圾邮件受害者每月垃圾邮件发送量分布。 10 从一周分布来看,周三和周四的垃圾邮件发送量平均最高,占比均为 16.4%、而周一最 少,占比为 11.3%。但总体来看,垃圾邮件的发送量在一周之内都比较平均。 从工作日 24 小时来看;垃圾邮件发送量的全天分布比较均匀,但整体上呈现出自凌晨 至午夜不断下降的趋势。 而从非工作日来看, 虽然大体上也呈现出自凌
26、晨至午夜的不断下降趋势, 但下降速度更 快更明显:0 点至 1 点的发送量最高,占全天的 6.9%;而 18 点以后,每个小时的垃圾邮件 发送量都不超过全天的 3%,最高点比最低点多近 1.6 倍。 造成这种“凌晨攻击”现象的原因,很可能是因为垃圾邮件的攻击者更愿意在邮件服务 器的使用低峰期发起攻击,这样更不容易被用户和管理员察觉。 11 五、 垃圾邮件与僵尸网络 根据 Coremail 论客与 360 威胁情报中心的联合监测,2017 年下半年,僵尸网络开始被 大量的应用于垃圾邮件攻击。综合统计显示,在 2017 年 Coremail 论客截获的所有垃圾邮件 中,至少有 10%以上的垃圾邮件
27、是由僵尸网络产生。 与传统的垃圾邮件攻击方式不同, 使用僵尸网络发送垃圾邮件的攻击者并非是通过少数 被控制的邮箱集中大量发送内容完全相同的电子邮件, 而是通过其控制的大量散布在全球各 地的各类电子邮箱,分时、分布式的发送大量内容并不完全相同,但具有一定相关性的垃圾 邮件。 由僵尸网络发送的垃圾邮件有以下几不同于传统垃圾邮件攻击的特点: 1) 垃圾邮件的发送源通常会零散的分布在全球各地; 2) 单个被控制的邮箱在短时间内发出的垃圾邮件数量并不多,所以不易被察觉; 3) 被攻击的目标邮箱也呈现分布式状态,一般没有明显的共性; 4) 同一攻击者发出的垃圾邮件在行为、 内容上具有一定相关性, 但大多并
28、不完全相同。 由于僵尸网络发送垃圾邮件的这些特点,使得大多数传统的反垃圾邮件网关及传统的 反垃圾邮件策略难以奏效。 只有通过大数据关联分析技术, 才能发现此类攻击的踪迹并进行 有效的防护。也正是由于僵尸网络发送的垃圾邮件难以防范,所以这种攻击方式的使用在 2017 年 8 月以后大幅增长。预计未来 1-2 年内,僵尸网络有可能成为最主要的垃圾邮件发 送源。 12 下图给出了 2017 年各月僵尸网络发送垃圾邮件数量的规模估算。考虑到可能仍有大量 僵尸网络的垃圾邮件攻击行为未被发现, 所以, 僵尸网络实际发送的垃圾邮件规模可能更大。 13 第三章 钓鱼邮件 一、 钓鱼邮件的规模 根据 Coremail 论客与 360 威胁情报中心的联合监测评估,2017 年,全国企业级邮箱用 户共收到各类钓鱼邮件约 239.2 亿封,约占企业级用户邮件收发总量的4.08%,平均每天约 有 6553.4 万封钓鱼邮件被发出和接收。 二、 钓鱼邮件发送源 根据 Coremail 论客与 360 威胁情报中心联合监测, 钓鱼邮件的发送者遍布全球, 其中, 来自巴西的钓鱼邮件最多,占国内企业用户收到的钓鱼邮件的 39.4%;其次是捷克,约占 9.6%;中国排名第三,约占 8.7%。针对国内企业级用户发送垃圾邮件