2017年鱼叉攻击邮件研究 报告 2017年11月30日 摘要 中恶意文档主要是指包含了病毒代码或者漏洞利用的伪装性攻击文档，此报告的研究范 围不包括除鱼叉攻击邮件以外的其他恶意邮件，如垃圾邮件、钓鱼邮件等，也不包括通 过URL链接引导用户跳转到指定的网站利用浏览器漏洞或者其他欺骗信息进行攻击的 情况
占比高达39.8%，排名第二的主题是支付类，占比为19.4%
比为14.7%，排名第三的是政府机构，占比为7.1%
29.8%、23.1%、21.9%
是Gmail邮箱和Outlook邮箱，占比分别为19.3%和7.2%
Text Format）文档占比达到了27.3%
系统漏洞来执行恶意代码的方式，占比为36.3%
二和第三的分别是远控木马、信息盗取木马，占比达到了23.7%和13.9%
关键词：鱼叉攻击邮件、发件人、主题、附件、漏洞、宏代码、载荷 目录 第一章研究背景1 第二章鱼叉攻击邮件分析..........2 一、邮件主题分析........2 二、攻击行业分析........2 三、攻击地区分析........3 四、发件邮箱分析........4 第三章鱼叉攻击邮件携带文档分析.......6 一、携带文档类型........6 二、攻击触发方式........6 三、最终攻击载荷........7 第四章鱼叉攻击邮件携带文档攻击案例9 一、利用漏洞攻击案例9 二、带毒宏攻击案例..11 三、带交互的恶意对象攻击案例.......13 四、嵌入带毒程序攻击案例...15 第五章结语......17第一章研究背景 电子邮件是人们日常工作中不可或缺的沟通工具，也是获取工作信息或文件的重要通道
由于电子邮件用户基数庞大，加上反病毒技术的快速发展及免费安全软件的普及，恶意程序 的传播变得越来越困难，所以越来越多的攻击者利用电子邮件为载体，传播恶意程序实施恶 意行为，特别是在一些定向攻击中，更是体现得淋漓尽致。攻击者针对特定目标投递特定主 题及内容的电子邮件来进行攻击，安全意识薄弱的用户很容易中招
对于鱼叉攻击邮件，为何用户容易中招呢？360互联网安全中心的安全专家们对这一问 题展开了深入的分析。分析发现，这些鱼叉攻击邮件在制作手法和攻击技术等方面并没有什 么特别之处，也没有采用什么新型技术。但是，此类鱼叉攻击邮件普遍采用了社会工程学的 伪装方法，攻击者会进行精心构造邮件主题、邮件内容及附带的文档名，极具欺骗性、迷惑 性，导致很多用户中招。此外，部分用户安全意识只停留在可执行的恶意程序上，对邮件中 附带的恶意文档防范意识较弱
鉴于此种情况，360安全专家对2017年全球范围内的鱼叉攻击邮件样本进行抽样分析 与研究，形成此报告，希望能够借此帮助更多的用户提高安全意识，对此类鱼叉攻击邮件有 个直观感受，有效防范此类恶意攻击
需要说明的是：本次报告的研究范围限定在以恶意文档作为附件来进行伪装和攻击的鱼 叉攻击邮件，其中恶意文档主要是指包含了病毒代码或者漏洞利用的伪装性攻击文档，此报 告的研究范围不包括除鱼叉攻击邮件以外的其他恶意邮件，如垃圾邮件、钓鱼邮件等，也不 包括通过URL链接引导用户跳转到指定的网站利用浏览器漏洞或者其他欺骗信息进行攻击 的情况。第二章鱼叉攻击邮件分析 一、邮件主题分析 通过对2017年鱼叉攻击邮件抽样分析统计显示，以订单类为主题的鱼叉攻击邮件最多， 占比高达39.8%，主题关键字涉及订单、RFQ（Request For Quotation)、采购单、PO （Purchase Order）等，并且此类邮件的内容通常与主题相符合，内容通常有如下几种形式： 1、请给出附件订单最优惠价格；2、请参考我们公司以往订单中产品的价格等。排名第二的 是支付类，占比为19.4%，涉及的主题主要有Payment、Invoice（发票）、Balance Payment Receipts等，此类主题的邮件内容通常有：1、附件为我们公司的支付方式；2、附件为我们 公司寄出的发票；3、麻烦确认附件的支付信息。以上这两类邮件通常是用于攻击公司，并 且攻击者在进行攻击时会针对主题设置相应邮件内容
除了以上两类，排名第三的是无主题，占比为14.7%。主要原因有两方面：1、缩短鱼 叉攻击邮件制作时间；2、为了方便群发邮件，由于攻击者想要攻击的人群多样，很难找到 适合所有收件人的主题。在今年5月12日爆发了“WanaCrypt0r”（永恒之蓝）勒索病毒后， 很多变形后的敲诈者木马就是通过空白主题的邮件进行广泛传播，此类邮件缺少主题甚至正 文，只携带恶意附件，因此，提醒用户要提防此类邮件（即缺少正文和主题的邮件），不要 轻易打开，最好是直接将此类邮件扔进垃圾箱
此外，以通知类和政策类为主题的邮件经常出现在APT攻击中，主题如xx大会召开、 颁布新政、战略计划等，针对是陌生人发来的此类主题的邮件也当特别注意。隐私类主要是 指以xx简历、xx聚会照片、xx体检报告、xx工资为主题的邮件。其他类主题就比较广泛， 主要有诱导执行类主题，还包括节日祝福、xx培训、backup、代开发票、股票信息等。其 中诱导执行类主题的邮件携带的恶意附件多为宏病毒文档，这是由于很多用户默认Office 设置是检测到宏代码发出提醒，这导致攻击者会在邮件主题以及内容中添加诱导内容，如点 开“允许”按钮才能查看文档内容等，在好奇心的驱动下，普通用户很容易中招
二、攻击行业分析
。。。以上简介无排版格式，详细内容请下载查看