根據(jù)IBM《2020年X-Force威脅情報(bào)指數(shù)》顯示，2019年企業(yè)遭受的非法攻擊中，釣魚(yú)郵件已經(jīng)連續(xù)兩年成為頭號(hào)黑客初始攻擊媒介，占比31%。而這一手段在近年來(lái)的“網(wǎng)絡(luò)攻防演練行動(dòng)”中尤為明顯，因企業(yè)員工眾多，安全意識(shí)薄弱，攻擊方可以通過(guò)swaks偽造管理員發(fā)送釣魚(yú)郵件，或者編造一個(gè)理由加密發(fā)送一個(gè)宏病毒等方式快速進(jìn)入企業(yè)內(nèi)部。

釣魚(yú)郵件常見(jiàn)攻擊形式

釣魚(yú)郵件是一種利用社會(huì)工程手法的攻擊手段，其關(guān)鍵點(diǎn)在于對(duì)受攻擊者心理狀態(tài)的掌握以及受攻擊者的疏忽程度。對(duì)于常見(jiàn)的攻擊形式主要有以下兩種：

1、惡意鏈接

通過(guò)在郵件正文中放入一個(gè)惡意誘導(dǎo)鏈接，誘導(dǎo)用戶進(jìn)行點(diǎn)擊，鏈接后面是一個(gè)偽造的網(wǎng)站，可能是一個(gè)惡意程序下載或者一個(gè)用于偽造的登錄入口等。

2、附件藏毒

攻擊者的payload含在郵件附件里，載體中包含有惡意文檔、圖片、壓縮包、腳本程序等。攻擊者會(huì)使用一些偽裝手段避免攔截或識(shí)破，如使用超長(zhǎng)文件名隱藏后綴或使用RLO技術(shù)進(jìn)行文件名欺騙等。

釣魚(yú)郵件傳統(tǒng)檢測(cè)方法

根據(jù)郵件的發(fā)送和接收過(guò)程，對(duì)釣魚(yú)郵件的檢測(cè)通常有兩種方法：

1、 郵件網(wǎng)關(guān)檢測(cè)

通過(guò)在郵件網(wǎng)絡(luò)入口部署郵件網(wǎng)關(guān)型產(chǎn)品，通過(guò)定義規(guī)則對(duì)已知釣魚(yú)郵件進(jìn)行過(guò)濾，包括定義規(guī)則庫(kù)、特征庫(kù)、郵件頭檢測(cè)、黑白名單、頻率檢測(cè)、超鏈接檢測(cè)、域名檢測(cè)等。

2、 終端殺毒軟件檢測(cè)

殺毒軟件利用病毒庫(kù)和對(duì)郵件附件的掃描功能對(duì)已知釣魚(yú)郵件進(jìn)行檢測(cè)。擁有威脅情報(bào)能力和沙箱能力的殺毒軟件通過(guò)威脅情報(bào)碰撞郵件附件MD5信息和惡意URL信息，并對(duì)可疑的文件投放到沙箱中進(jìn)行動(dòng)態(tài)檢測(cè)。

針對(duì)傳統(tǒng)釣魚(yú)郵件的防御，通過(guò)以上兩種方法已經(jīng)可以實(shí)現(xiàn)大多數(shù)的檢測(cè)。但從根本上看，兩種方法還是通過(guò)傳統(tǒng)規(guī)則特征的形式進(jìn)行識(shí)別，并且缺乏對(duì)攻擊方式溯源的能力，而在“網(wǎng)絡(luò)攻防演練行動(dòng)”中的攻擊，或?qū)ζ髽I(yè)針對(duì)性的攻擊時(shí)，攻擊者往往會(huì)利用各種0day攻擊、無(wú)文件攻擊、特征庫(kù)繞過(guò)等手段，使傳統(tǒng)檢測(cè)手段形同虛設(shè)。同時(shí)，企業(yè)也需要深入了解攻擊路徑，及時(shí)彌補(bǔ)漏洞。

聯(lián)軟UniEDR：基于行為分析的釣魚(yú)郵件檢測(cè)

釣魚(yú)郵件的攻擊最終是要落地到員工終端上進(jìn)行操作的，根據(jù)這一特點(diǎn)，聯(lián)軟UniEDR通過(guò)對(duì)終端內(nèi)部多行為進(jìn)行關(guān)聯(lián)分析實(shí)現(xiàn)，補(bǔ)充了傳統(tǒng)檢測(cè)手段的不足。

以下是聯(lián)軟UniEDR終端檢測(cè)與響應(yīng)系統(tǒng)捕獲的一起通過(guò)郵件附件釣魚(yú)的真實(shí)事件：

1、攻擊者向內(nèi)網(wǎng)散布釣魚(yú)郵件，郵件偽裝成漏洞修復(fù)通知，攻擊者利用這一點(diǎn)誘使用戶下載惡意壓縮包文件。

2、用戶解壓文件后點(diǎn)擊《漏洞修復(fù)說(shuō)明.doc》，包含在Word文檔里的宏病毒開(kāi)始運(yùn)行。

聯(lián)軟UniEDR系統(tǒng)通過(guò)對(duì)終端進(jìn)程行為、網(wǎng)絡(luò)行為的監(jiān)控，發(fā)現(xiàn)WINWORD.EXE啟動(dòng)rundll32.exe，并與遠(yuǎn)程網(wǎng)絡(luò)52.109.120.29進(jìn)行了連接。

3、而后，又通過(guò)調(diào)用Powershell.exe和whoami.exe進(jìn)程進(jìn)行環(huán)境探測(cè)，利用net命令新建賬戶hacker做持久化攻擊。

4、 根據(jù)對(duì)文件“漏洞修復(fù)說(shuō)明.doc”進(jìn)行溯源分析，發(fā)現(xiàn)是由Outlook郵件客戶端下載而來(lái)，認(rèn)定是一起郵件釣魚(yú)事件。并根據(jù)告警事件生成安全告警詳情報(bào)告，通知管理員進(jìn)一步作決策。

從事件中可以看出，聯(lián)軟UniEDR可以通過(guò)全量、深度的終端數(shù)據(jù)采集，對(duì)終端發(fā)生的行為數(shù)據(jù)關(guān)聯(lián)分析，發(fā)現(xiàn)各行為間關(guān)聯(lián)關(guān)系，利用威脅檢測(cè)模型，識(shí)別郵件釣魚(yú)行為，并可視化的展現(xiàn)攻擊過(guò)程和路徑。

面對(duì)釣魚(yú)郵件的威脅時(shí)，聯(lián)軟UniEDR系統(tǒng)不僅可以快速檢測(cè)釣魚(yú)郵件攻擊，并且由于聯(lián)軟UniEDR系統(tǒng)是基于聯(lián)軟EPP終端安全管理系統(tǒng)的一體化平臺(tái)，威脅處置后，還可利用EPP終端安全管控系統(tǒng)即時(shí)針對(duì)性修復(fù)漏洞，規(guī)范終端行為，通過(guò)消息通知、屏保、壁紙等手段，提高員工安全意識(shí)。