罗少辉：电子邮件成为当下网络攻击的主要传播途径

主页（http://www.kuwanit.com）：罗少辉：电子邮件成为当下网络攻击的主要传播途径

【TechTarget中国原创】

上个月，赛门铁克发布了第22期《互联网安全威胁报告》，向公众及IT专业人士分享了对全球威胁动态、网络犯罪趋势和攻击者动机的分析和洞察。我们可以看到，2016年是网络攻击极其活跃的一年，全球先后发生多起大型网络攻击事件，例如令人震惊的造成数千万美元损失的虚拟银行劫案，蓄意破坏美国选举的黑客攻击，利用物联网设备发动的史上最大规模的DDoS攻击，以及近期席卷全球150个国家的WannaCry勒索软件攻击，至今还令人震惊。网络攻击不仅对企业和个人用户造成巨大的损失，甚至对国际政治、全球经济、民生安全造成不可预估的危害。

过去，网络攻击组织主要集中利用零日漏洞发动具有针对性的攻击。但随着“漏洞赏金” 计划的日益普及，产品在开发过程中对安全因素的重点关注，以及国家、企业和个人用户对安全解决方案的采用和部署，攻击者越来越难发现和利用零日漏洞，这迫使他们转将视线重新放回到常用攻击途径——电子邮件就是其中之一，并且成为2016年最常见的攻击手段。

2016年，恶意电子邮件成为各类网络攻击团伙的首选 “武器” ，无论是有政府背景的间谍团伙，还是电子邮件群发勒索团伙都对其情有独钟。第22期赛门铁克《互联网安全威胁报告》指出，电子邮件中的恶意软件比例在2016年出现明显上升，达到1:131，成为五年来最高比例。在中国，该情况更为严重，比例为1:63 —— 这意味着，每63封电子邮件中就有一封带有恶意软件。此外，利用鱼叉式网络钓鱼电子邮件的商务电邮诈骗 (BEC)骗局也收到攻击者的青睐，在 2016 年出现明显的增加。

图1. 2016年，恶意邮件比例为近5年最高

赛门铁克发现，每天有数百万攻击是通过恶意电子邮件所发起的。我们的分析得出，恶意电子邮件受到青睐的主要原因是由于该途径的有效性——首先，电子邮件是当今极为重要的通信工具，无论企业还是个人都十分依赖电子邮件作为生活和工作的沟通工具。其次，攻击者只需要通过简单的欺骗手段便能够成功诱惑受害者打开附件、点击链接或泄露凭据，无需任何漏洞就可以完成。

去年最典型的案例便是在美国大选前夕，黑客使用鱼叉式网络钓鱼邮件入侵希拉里克林顿的竞选团队主席约翰·波德斯塔和前美国国务卿科林·鲍威尔的电子邮件帐户。根据我们的调研，电子邮件在2016年被广泛使用于不同类型的复杂性攻击活动中，另一个主要的例子是破坏性恶意软件 Shamoon在沉寂四年后的卷土重来，向沙特阿拉伯国家的多个目标发起大量的攻击。攻击者首先向目标受害组织中的个人用户发送含有恶意链接的鱼叉式网络钓鱼邮件，如果用户点击该链接，则会下载类似Word或Excel的文件。一旦打开该文件，Office宏就会运行PowerShell脚本，使攻击者拥有远程访问的能力，并在受感染计算机中执行基本侦查任务。

电子邮件恶意软件激增可能与2016年大规模散播恶意电子邮件犯罪团伙的持续不断活动有关，我们看到主要传播的威胁包括：Locky、Dridex 和 TeslaCrypt。其中，金融特洛伊木马 Dridex 主要用于窃取用户的银行交易凭据。Dridex 背后的攻击者都是专业人员，他们通过不断完善恶意软件，让这些恶意电子邮件尽可能看上去合法。TeslaCrypt 和 Locky 都属于勒索软件，而勒索软件也是2016年的主要网络威胁之一。

2016年全球受电子邮件恶意软件威胁影响最多的行业是批发业和农业，但是增长速度最快的是运输业、金融业和采矿业。在中国，受到电子邮件恶意软件影响最大的行业是服务业(1:59)和金融、保险及房地产业(1:122)。不仅如此，在2016年，电子邮件恶意软件几乎重创了所有规模的企业。根据我们的统计数据，全球范围来看，中小型企业(员工人数在251至500之间)受到的冲击最大，每95封电子邮件中就有一封包含恶意软件。在中国，小型企业(员工人数在1至250之间)则是重点攻击对象，每59封电子邮件中就有一封包含恶意软件。

随着人们对网络安全意识的提高，网络攻击者也在不断改进利用邮件的攻击手段，来确保目标在完善电子邮件安全防御前，抢占感染设备的先机。

Office宏和PowerShell成为常用的攻击工具，如上文提到的希拉里团队竞选主席约翰 波德斯塔邮箱遭遇入侵的事件。根据FBI调查，黑客并没有利用任何恶意软件或漏洞，仅通过一封鱼叉式网络钓鱼邮件，便成功入侵约翰·波德斯塔的设备。该钓鱼邮件伪装成来自Gmail官方管理员的邮件，并在邮件中表示：受害人的邮箱可能已经受到感染，提示他需要重设密码来确保账户的安全。该钓鱼邮件中包含了一个短URL来掩饰真正的恶意URL。当受害人点击该URL，就会进入一个“冒牌”的 Gmail账户密码重置网页。整个攻击过程中，黑客仅通过简单的社交诈骗技术，便轻松获取了目标设备的密码。

与此同时，越来越多的攻击者选择使用下载器在目标设备中安装恶意程序。2016 年，赛门铁克检测到大量电子邮件攻击活动，通过恶意Office宏(W97M.Downloader及其变种)和JavaScript下载程序文件(JS.Downloader及其变种)大肆传播勒索软件和联机银行交易威胁。它们在2016年的端点监测数量高达700万起。这些下载程序受到攻击者青睐是有原因的。大多数企业不愿意通过电子邮件网关拦截全部Office文件，因为这样可能影响合法的电子邮件，这一点是Office宏下载程序广泛流行的重要原因。同时，脚本文件的易混淆性可使其躲避检测，这是JavaScript下载程序泛滥加剧的原因之一。

Necurs是2016年传播恶意软件最疯狂的僵尸网络，通过电子邮件大肆传播JavaScript、VBS和Office宏等下载程序，并发起大规模攻击活动。2016年，Locky等勒索软件威胁便是通过这样的方式感染受害设备，并对受害人进行勒索。

图2. 电子邮件传播恶意软件的感染过程

上文提到攻击者在2016年愈发倾向于采用简单的工具和看起来平淡无奇的招数就能够给企业和目标组织带来巨大的灾难。作为社交骗局的其中一种，商务电邮诈骗(Business Email Compromise)在去年出现显著的增加。此类攻击也被称为 CEO 欺诈或“鲸钓”攻击。无需任何专业的技术手段与能力，诈骗者只需伪装成企业 CEO 或其他高管，向其员工发送仿冒电子邮件，随后要求员工进行网上转账，便可完成攻击。尽管实施诈骗的技术手段并不高明，但犯罪者一旦成功实施诈骗，便可从中获得巨大经济回报，对相关企业造成重大的经济损失。2016 年年初，奥地利飞机零件制造商遭遇BEC 诈骗，共造成5000万美元的财产损失，随后该公司立即解雇了CEO。