根據(jù)IBM《2020年X-Force威脅情報指數(shù)》顯示，2019年企業(yè)遭受的非法攻擊中，釣魚郵件已經(jīng)連續(xù)兩年成為頭號黑客初始攻擊媒介，占比31%。而這一手段在近年來的“網(wǎng)絡(luò)攻防演練行動”中尤為明顯，因企業(yè)員工眾多，安全意識薄弱，攻擊方可以通過swaks偽造管理員發(fā)送釣魚郵件，或者編造一個理由加密發(fā)送一個宏病毒等方式快速進(jìn)入企業(yè)內(nèi)部。

釣魚郵件常見攻擊形式

釣魚郵件是一種利用社會工程手法的攻擊手段，其關(guān)鍵點在于對受攻擊者心理狀態(tài)的掌握以及受攻擊者的疏忽程度。對于常見的攻擊形式主要有以下兩種：

1、惡意鏈接

通過在郵件正文中放入一個惡意誘導(dǎo)鏈接，誘導(dǎo)用戶進(jìn)行點擊，鏈接后面是一個偽造的網(wǎng)站，可能是一個惡意程序下載或者一個用于偽造的登錄入口等。

2、附件藏毒

攻擊者的payload含在郵件附件里，載體中包含有惡意文檔、圖片、壓縮包、腳本程序等。攻擊者會使用一些偽裝手段避免攔截或識破，如使用超長文件名隱藏后綴或使用RLO技術(shù)進(jìn)行文件名欺騙等。

釣魚郵件傳統(tǒng)檢測方法

根據(jù)郵件的發(fā)送和接收過程，對釣魚郵件的檢測通常有兩種方法：

1、 郵件網(wǎng)關(guān)檢測

通過在郵件網(wǎng)絡(luò)入口部署郵件網(wǎng)關(guān)型產(chǎn)品，通過定義規(guī)則對已知釣魚郵件進(jìn)行過濾，包括定義規(guī)則庫、特征庫、郵件頭檢測、黑白名單、頻率檢測、超鏈接檢測、域名檢測等。

2、 終端殺毒軟件檢測

殺毒軟件利用病毒庫和對郵件附件的掃描功能對已知釣魚郵件進(jìn)行檢測。擁有威脅情報能力和沙箱能力的殺毒軟件通過威脅情報碰撞郵件附件MD5信息和惡意URL信息，并對可疑的文件投放到沙箱中進(jìn)行動態(tài)檢測。

針對傳統(tǒng)釣魚郵件的防御，通過以上兩種方法已經(jīng)可以實現(xiàn)大多數(shù)的檢測。但從根本上看，兩種方法還是通過傳統(tǒng)規(guī)則特征的形式進(jìn)行識別，并且缺乏對攻擊方式溯源的能力，而在“網(wǎng)絡(luò)攻防演練行動”中的攻擊，或?qū)ζ髽I(yè)針對性的攻擊時，攻擊者往往會利用各種0day攻擊、無文件攻擊、特征庫繞過等手段，使傳統(tǒng)檢測手段形同虛設(shè)。同時，企業(yè)也需要深入了解攻擊路徑，及時彌補(bǔ)漏洞。

聯(lián)軟UniEDR：基于行為分析的釣魚郵件檢測

釣魚郵件的攻擊最終是要落地到員工終端上進(jìn)行操作的，根據(jù)這一特點，聯(lián)軟UniEDR通過對終端內(nèi)部多行為進(jìn)行關(guān)聯(lián)分析實現(xiàn)，補(bǔ)充了傳統(tǒng)檢測手段的不足。

以下是聯(lián)軟UniEDR終端檢測與響應(yīng)系統(tǒng)捕獲的一起通過郵件附件釣魚的真實事件：

1、攻擊者向內(nèi)網(wǎng)散布釣魚郵件，郵件偽裝成漏洞修復(fù)通知，攻擊者利用這一點誘使用戶下載惡意壓縮包文件。

2、用戶解壓文件后點擊《漏洞修復(fù)說明.doc》，包含在Word文檔里的宏病毒開始運行。

聯(lián)軟UniEDR系統(tǒng)通過對終端進(jìn)程行為、網(wǎng)絡(luò)行為的監(jiān)控，發(fā)現(xiàn)WINWORD.EXE啟動rundll32.exe，并與遠(yuǎn)程網(wǎng)絡(luò)52.109.120.29進(jìn)行了連接。

3、而后，又通過調(diào)用Powershell.exe和whoami.exe進(jìn)程進(jìn)行環(huán)境探測，利用net命令新建賬戶hacker做持久化攻擊。

4、 根據(jù)對文件“漏洞修復(fù)說明.doc”進(jìn)行溯源分析，發(fā)現(xiàn)是由Outlook郵件客戶端下載而來，認(rèn)定是一起郵件釣魚事件。并根據(jù)告警事件生成安全告警詳情報告，通知管理員進(jìn)一步作決策。

從事件中可以看出，聯(lián)軟UniEDR可以通過全量、深度的終端數(shù)據(jù)采集，對終端發(fā)生的行為數(shù)據(jù)關(guān)聯(lián)分析，發(fā)現(xiàn)各行為間關(guān)聯(lián)關(guān)系，利用威脅檢測模型，識別郵件釣魚行為，并可視化的展現(xiàn)攻擊過程和路徑。

面對釣魚郵件的威脅時，聯(lián)軟UniEDR系統(tǒng)不僅可以快速檢測釣魚郵件攻擊，并且由于聯(lián)軟UniEDR系統(tǒng)是基于聯(lián)軟EPP終端安全管理系統(tǒng)的一體化平臺，威脅處置后，還可利用EPP終端安全管控系統(tǒng)即時針對性修復(fù)漏洞，規(guī)范終端行為，通過消息通知、屏保、壁紙等手段，提高員工安全意識。