根據(jù)IBM《2020年X-Force威脅情報指數(shù)》顯示，2019年企業(yè)遭受的非法攻擊中，釣魚郵件已經(jīng)連續(xù)兩年成為頭號黑客初始攻擊媒介，占比31%。而這一手段在近年來的“網(wǎng)絡(luò)攻防演練行動”中尤為明顯，因企業(yè)員工眾多，安全意識薄弱，攻擊方可以通過swaks偽造管理員發(fā)送釣魚郵件，或者編造一個理由加密發(fā)送一個宏病毒等方式快速進入企業(yè)內(nèi)部。

釣魚郵件常見攻擊形式

釣魚郵件是一種利用社會工程手法的攻擊手段，其關(guān)鍵點在于對受攻擊者心理狀態(tài)的掌握以及受攻擊者的疏忽程度。對于常見的攻擊形式主要有以下兩種：

1、惡意鏈接

通過在郵件正文中放入一個惡意誘導鏈接，誘導用戶進行點擊，鏈接后面是一個偽造的網(wǎng)站，可能是一個惡意程序下載或者一個用于偽造的登錄入口等。

2、附件藏毒

攻擊者的payload含在郵件附件里，載體中包含有惡意文檔、圖片、壓縮包、腳本程序等。攻擊者會使用一些偽裝手段避免攔截或識破，如使用超長文件名隱藏后綴或使用RLO技術(shù)進行文件名欺騙等。

釣魚郵件傳統(tǒng)檢測方法

根據(jù)郵件的發(fā)送和接收過程，對釣魚郵件的檢測通常有兩種方法：

1、 郵件網(wǎng)關(guān)檢測

通過在郵件網(wǎng)絡(luò)入口部署郵件網(wǎng)關(guān)型產(chǎn)品，通過定義規(guī)則對已知釣魚郵件進行過濾，包括定義規(guī)則庫、特征庫、郵件頭檢測、黑白名單、頻率檢測、超鏈接檢測、域名檢測等。

2、 終端殺毒軟件檢測

殺毒軟件利用病毒庫和對郵件附件的掃描功能對已知釣魚郵件進行檢測。擁有威脅情報能力和沙箱能力的殺毒軟件通過威脅情報碰撞郵件附件MD5信息和惡意URL信息，并對可疑的文件投放到沙箱中進行動態(tài)檢測。

針對傳統(tǒng)釣魚郵件的防御，通過以上兩種方法已經(jīng)可以實現(xiàn)大多數(shù)的檢測。但從根本上看，兩種方法還是通過傳統(tǒng)規(guī)則特征的形式進行識別，并且缺乏對攻擊方式溯源的能力，而在“網(wǎng)絡(luò)攻防演練行動”中的攻擊，或?qū)ζ髽I(yè)針對性的攻擊時，攻擊者往往會利用各種0day攻擊、無文件攻擊、特征庫繞過等手段，使傳統(tǒng)檢測手段形同虛設(shè)。同時，企業(yè)也需要深入了解攻擊路徑，及時彌補漏洞。

聯(lián)軟UniEDR：基于行為分析的釣魚郵件檢測

釣魚郵件的攻擊最終是要落地到員工終端上進行操作的，根據(jù)這一特點，聯(lián)軟UniEDR通過對終端內(nèi)部多行為進行關(guān)聯(lián)分析實現(xiàn)，補充了傳統(tǒng)檢測手段的不足。

以下是聯(lián)軟UniEDR終端檢測與響應系統(tǒng)捕獲的一起通過郵件附件釣魚的真實事件：

1、攻擊者向內(nèi)網(wǎng)散布釣魚郵件，郵件偽裝成漏洞修復通知，攻擊者利用這一點誘使用戶下載惡意壓縮包文件。

2、用戶解壓文件后點擊《漏洞修復說明.doc》，包含在Word文檔里的宏病毒開始運行。

聯(lián)軟UniEDR系統(tǒng)通過對終端進程行為、網(wǎng)絡(luò)行為的監(jiān)控，發(fā)現(xiàn)WINWORD.EXE啟動rundll32.exe，并與遠程網(wǎng)絡(luò)52.109.120.29進行了連接。

3、而后，又通過調(diào)用Powershell.exe和whoami.exe進程進行環(huán)境探測，利用net命令新建賬戶hacker做持久化攻擊。

4、 根據(jù)對文件“漏洞修復說明.doc”進行溯源分析，發(fā)現(xiàn)是由Outlook郵件客戶端下載而來，認定是一起郵件釣魚事件。并根據(jù)告警事件生成安全告警詳情報告，通知管理員進一步作決策。

從事件中可以看出，聯(lián)軟UniEDR可以通過全量、深度的終端數(shù)據(jù)采集，對終端發(fā)生的行為數(shù)據(jù)關(guān)聯(lián)分析，發(fā)現(xiàn)各行為間關(guān)聯(lián)關(guān)系，利用威脅檢測模型，識別郵件釣魚行為，并可視化的展現(xiàn)攻擊過程和路徑。

面對釣魚郵件的威脅時，聯(lián)軟UniEDR系統(tǒng)不僅可以快速檢測釣魚郵件攻擊，并且由于聯(lián)軟UniEDR系統(tǒng)是基于聯(lián)軟EPP終端安全管理系統(tǒng)的一體化平臺，威脅處置后，還可利用EPP終端安全管控系統(tǒng)即時針對性修復漏洞，規(guī)范終端行為，通過消息通知、屏保、壁紙等手段，提高員工安全意識。