奇安信：2021中國企業(yè)郵箱安全性研究報告

中國企業(yè)郵箱安全性研究報告年9月組長林延中裴智勇主要編寫人員琦朱騰蛟江嘉杰練奕余心相關(guān)專家的悉心指導(dǎo)和寶貴建議，在此表示感謝。摘要僅就正常郵件而言，統(tǒng)計顯示，全國企業(yè)郵箱用戶在2021年共收發(fā)正常電子郵件約子郵箱使用獨立域名較多的行業(yè)。名根據(jù)Coremail與奇安信行業(yè)安全研究中心的聯(lián)合監(jiān)測評估，2021年，全國企業(yè)郵箱用Coremail球，其根據(jù)Coremail與奇安信行業(yè)安全研究中心聯(lián)合監(jiān)測評估，2021年，全國企業(yè)級用戶共。研究背景 2主要觀點 3第一章電子郵箱的使用與規(guī)模 4一、電子郵箱的使用規(guī)模 4二、電子郵箱用戶行業(yè)分布 5三、電子郵件的地域分布 6第二章垃圾郵件 8一、垃圾郵件的規(guī)模 8二、垃圾郵件發(fā)送源 8三、垃圾郵件受害者 10第三章釣魚郵件 11一、釣魚郵件的規(guī)模 11二、釣魚郵件發(fā)送源 11三、釣魚郵件受害者 12第四章帶毒郵件 14一、帶毒郵件的規(guī)模 14二、帶毒郵件發(fā)送源 14第五章郵件安全應(yīng)急響應(yīng)案例 15一、下載破解軟件，導(dǎo)致內(nèi)網(wǎng)終端自動發(fā)送惡意郵件 15二、APT組織利用釣魚郵件進行攻擊 16三、能源行業(yè)某客戶內(nèi)網(wǎng)收到釣魚郵件應(yīng)急事件處置 17 五、BEC(BUSINESSEMAILCOMPROMISE)商業(yè)郵件詐騙 20附件1CACTER郵件安全網(wǎng)關(guān)產(chǎn)品介紹 22附件2奇安信網(wǎng)神郵件威脅檢測系統(tǒng) 242研究背景們毒郵件為主體，從規(guī)模、發(fā)送源、受害者及典型案例等方面分析中國企業(yè)郵箱安全性。Coremail驗，3主要觀點隨著郵件識別技術(shù)的持續(xù)進步，越來越多的其他惡意郵件(如釣魚郵件、帶毒郵件等)也在迅速增長，值得關(guān)注。手段多樣且極具迷惑性的特點。的損失。4第一章電子郵箱的使用與規(guī)模5而言，統(tǒng)計顯示，全國企業(yè)郵箱用戶在2021年共收發(fā)正常電子郵件約22.9%為外部郵件，42.4%為內(nèi)外通發(fā)郵件(收件人既有機構(gòu)內(nèi)部，也有機構(gòu)外部)。6獨立域名較多的行業(yè)。次圖所示：最高。ovcn為0.08%，.郵箱域名占比為0.04%。而從正常郵件發(fā)送量上來看，.郵箱占78第二章垃圾郵件Coremail體分布如下圖所示：門與郵件服務(wù)商)對境內(nèi)垃圾郵件的源頭的持續(xù)打擊在相當(dāng)程度上抑制了垃圾郵件的增長。意郵件監(jiān)測并區(qū)分出來。未來此類型郵件的監(jiān)測和防護也將成為郵件安全領(lǐng)域的主戰(zhàn)場。正是由于這些對垃圾郵件的抑制因素使得垃圾郵件的增長速度遠不及新增用戶的增長正常收發(fā)郵件數(shù)量的增長速度。98.3%的垃圾郵件；浙江省排第三章釣魚郵件行的魚叉郵件攻擊。Coremail460.9億封減少了.8%。級用戶郵件收發(fā)總量的4.5%，發(fā)送釣魚郵件數(shù)量的占比情況如下圖所示。郵P釣第四章帶毒郵件Coremail共郵件的發(fā)送者多集中于北美洲與歐洲。其中，來自美國的帶毒郵件最多占全球帶毒郵件的分布及占比情況如下圖所示。第五章郵件安全應(yīng)急響應(yīng)案例一、下載破解軟件，導(dǎo)致內(nèi)網(wǎng)終端自動發(fā)送惡意郵件(一)事件概述。員工A主機進行分析發(fā)現(xiàn)，該主機中天擎存在多個“永恒之藍下載器木馬”惡意文件攔截記錄。繼續(xù)對其系統(tǒng)日志及計劃任務(wù)分析發(fā)現(xiàn)，事發(fā)當(dāng)天員工A主機曾成功執(zhí)行永恒之藍馬惡意計劃任務(wù)。求”。(二)防護建議2)禁止通過非官方渠道下載應(yīng)用軟件，不隨意點擊來歷不明的鏈接，加強內(nèi)部人員安序并清除；4)加強日常安全巡檢制度，定期對系統(tǒng)配置、系統(tǒng)漏洞、安全日志以及安全策略落實(一)事件概述查殺，并溯源攻擊路徑發(fā)現(xiàn)：攻擊者為蔓靈花APT團伙。蔓靈花APT團隊使用載并運行了釣魚郵件中的木馬文件。木馬文件落地后在主機中創(chuàng)建惡意計劃任務(wù)DefenderUpdater及惡意進程msicexec.exe，使受害主機每隔15分鐘向APT惡意域名(二)防護建議內(nèi)部人員安全意識培訓(xùn)，禁止點擊來源不明郵件附件，禁止將敏感信息私2)安裝殺毒軟件并定期更新病毒庫，開啟殺毒軟件對郵件附件的掃描功能，有效識別事件發(fā)生時可提供可靠的追溯依據(jù)；5)加強日常安全巡檢制度，定期對系統(tǒng)配置、系統(tǒng)漏洞、安全日志以及安全策略落實三、能源行業(yè)某客戶內(nèi)網(wǎng)收到釣魚郵件應(yīng)急事件處置(一)事件概述容進行分析并排查疑似感染終端情況。急人員將其下載至沙箱并解壓，發(fā)現(xiàn)壓縮包內(nèi)為多個帶有惡意宏代碼的excel文件，打開后會誘導(dǎo)用戶啟動宏功能，為自身惡意宏代碼創(chuàng)造執(zhí)行條件。惡意宏代碼運行后，會調(diào)用powershellEmotettEmotet木馬會定期收集根據(jù)客戶反饋，應(yīng)急人員對疑似點擊了釣魚郵件的3臺員工電腦進行病毒查殺及特征(二)防護建議；力；清除能力；事件發(fā)生時可提供可靠的追溯依據(jù)；(一)事件概述法的詐騙案多次出現(xiàn)，已有多個互聯(lián)網(wǎng)公司中招Coremail貼通知，圾反釣魚檢測、騙取“同事”的信任。022,Q1工資詐騙類釣魚郵件022,Q2工資詐騙類釣魚郵件的反垃圾檢查或郵件網(wǎng)關(guān)攔截。(二)防護建議R2)提高郵箱密碼策略要求，設(shè)置域內(nèi)必須使用強密碼，并建議進行弱密碼掃描，及時以防郵箱被盜。3)提高警惕，收到相關(guān)補貼通知類郵件請務(wù)必進行單位內(nèi)部確認(rèn)；切勿輕易點擊郵件5)建議進行【反釣魚演練】，并對公司重要崗位職工(財務(wù)、管理層)進行安全意識五、BEC(BusinessEmailCompromise)商業(yè)郵件詐騙(一)事件概述查該詐騙團伙使用仿冒域名【@供應(yīng)商AA.com】發(fā)送郵件。此仿冒域名與實際域名【供應(yīng)進一步排查供應(yīng)商郵件系統(tǒng)發(fā)現(xiàn)，此郵件并非由實際供應(yīng)商A域名發(fā)出，且實際供應(yīng)商A域名旗下郵箱賬號并未被盜，推測為詐騙團伙通過盜取受害企業(yè)內(nèi)部郵箱賬號，獲得要求業(yè)務(wù)匯款的BEC詐騙郵件mpromiseBECBEC方式盜取客戶，并發(fā)起轉(zhuǎn)賬詐騙需求或偷偷替換銀行賬戶等行動。大量金錢損失后方才察覺。BEC是冒充商員工的犯罪分子)，同伙常常扮演真實供應(yīng)商的財務(wù)或行政員工。賬表單，不含任何敏感信息。巨大損失。(二)防護建議附件1CACTER郵件安全網(wǎng)關(guān)產(chǎn)品介紹郵件安全問題，產(chǎn)品涵蓋郵件安全網(wǎng)關(guān)、CAC防盜號、安全海外中繼、重保服務(wù)、反釣魚演練等?？蛻艉w國務(wù)院新聞辦等。CACTER郵件安全網(wǎng)關(guān)介紹remailCACTERCAC產(chǎn)品優(yōu)勢精準(zhǔn)隔離郵件系統(tǒng)不受惡意郵件威脅。力實時更新CACTER郵件安全網(wǎng)關(guān)擁有全國最大的郵件安全數(shù)據(jù)中心，基于數(shù)億惡意郵件樣本，通過l紋檢查，有效識別附件型的垃圾郵件。CACTER郵件安全網(wǎng)關(guān)采用當(dāng)今世界上先進的反垃圾郵件技術(shù)，包括自研算法——多種部署，支持信創(chuàng)聯(lián)系我們ercom眾號：CACTER郵件安全附件2奇安信網(wǎng)神郵件威脅檢測系統(tǒng)用戶價值為客戶提供更高級的郵件安全防護通過定制化沙箱分析，發(fā)現(xiàn)傳統(tǒng)郵件安全產(chǎn)品無法偵測的附件高級威脅。通過專業(yè)的機器學(xué)習(xí)模型，發(fā)現(xiàn)更隱蔽的釣魚郵件等社交工程郵件。提供更靈活的安裝和部署方式一體和分析。見的投入產(chǎn)出比通過阻止、隔離、移除威