2017中国企业邮箱安全性研究报告.pdf

2017 中国企业邮箱安全性研究报告 2018 年 5 月 8 日主要观点电子邮箱的使用电子邮件是政企机构办公的重要工具。截止 2017 年 12 月，活跃的中国政企机构独立邮箱域名约为 500 万个，中国境内企业级电子邮箱活跃用户规模约为 1.2 亿。全国企业级电子邮箱用户平均每天收发到电子邮件约 16.1 亿封。对比独立邮箱域名注册量和邮件发送量，可以看出，就单个政企机构而言，教育培训，媒体、科研机构、医疗卫生等行业对邮件办公的依赖度最高。非正常邮件的收发在企业级电子邮箱用户收发的邮件中，正常邮件占比约为 25.4%，普通垃圾邮件占比为 64.7%、钓鱼邮件 4.08%、带毒邮件 2.12%、谣言反动邮件 2.23%，色情、赌博等违法信息推广邮件约 1.47%。也就是说， 2017 年，在邮件系统收发的邮件中，仅有约 1/4 为正常邮件，垃圾邮件及其他各类非法、恶意邮件等非正常邮件的数量，是正常邮件数量的三倍左右。来自国内的垃圾邮件发送者最多，占总量约 30.4%，来自巴西次之，占总量约 27.1%，第三是美国，约占 9.6%。钓鱼邮件的发送者遍布全球，其中，来自巴西的钓鱼邮件最多，占国内企业用户收到的钓鱼邮件的 39.4%；其次是捷克，约占 9.6%；中国排名第三，约占 8.7%。僵尸网络 2017 年下半年，僵尸网络开始被大量的应用于垃圾邮件攻击。在 2017 年 Coremail 论客截获的所有垃圾邮件中，至少有 10%以上的垃圾邮件是由僵尸网络产生。与传统的垃圾邮件攻击方式不同，使用僵尸网络发送垃圾邮件的攻击者并非是通过少数被控制的邮箱集中大量发送内容完全相同的电子邮件，而是通过其控制的大量散布在全球各地的各类电子邮箱，分时、分布式的发送大量内容并不完全相同，但具有一定相关性的垃圾邮件。僵尸网络发送垃圾邮件的特点，使得大多数传统的反垃圾邮件网关及传统的反垃圾邮件策略难以奏效。只有通过大数据关联分析技术，才能发现此类攻击的踪迹并进行有效的防护。预计未来 1-2 年内，僵尸网络有可能成为最主要的垃圾邮件发送源。鱼叉邮件针对鱼叉攻击邮件的抽样分析显示，以订单类为主题的鱼叉攻击邮件最多，占比高达39.8%，排名第二的主题是支付类，占比为 19.4%。攻击者通过鱼叉邮件最喜欢攻击的是各个企业，占比高达 61.5%，其次为金融机构，占比为 14.7%，排名第三的是政府机构，占比为 7.1%。在鱼叉邮件攻击中，攻击者在邮件中最喜欢携带的文档为 Office文档，占比高达 65.4%，其次为 RTF（ Rich Text Format）文档占比达到了 27.3%。通过对摩诃草组织及国内某特殊行业工业企业遭到鱼叉邮件攻击的分析可以发现，攻击者大量使用社会工程学手法，邮件极具迷惑性，普通人很难识破。摘要截止 2017 年 12 月，活跃的中国政企机构独立邮箱域名约为 500 万个，中国境内企业级电子邮箱活跃用户规模约为 1.2 亿。 2017 年，全国企业级电子邮箱用户共收发各类电子邮件约 5861.9 亿封，平均每天收发到电子邮件约 16.1 亿封。其中，正常邮件占比约为 25.4%，普通垃圾邮件占比为 64.7%、钓鱼邮件 4.08%、带毒邮件 2.12%、谣言反动邮件 2.23%，色情、赌博等违法信息推广邮件约 1.47%。如果从正常邮件的发送量上来看，工业制造和教育培训机构发送的邮件数量最多，占比均为 16.7%；其次是媒体占比为 13.7%，交通运输行业占比 10.6%。对比独立邮箱域名注册量和邮件发送量，可以看出，就单个政企机构而言，教育培训，媒体、科研机构、医疗卫生等行业对邮件办公的依赖度最高。从国内企业级邮箱的活跃用户数量来看，广州用户最多，占全国用户数的 10.6%；其次为北京，占全国用户数的 9.9%；上海排第三，占全国用户的 7.0%。 2017 年，全国企业级邮箱用户共收到各类垃圾邮件约 3792.6 亿封，约占企业级用户邮件收发总量的 64.7%，是企业级用户正常邮件数量的 2.5 倍。全国企业级用户平均每天收到约 10.4 亿封各类垃圾邮件。从发送者邮箱域名归属情况来看，来自国内的垃圾邮件最多，占总量约 30.4%，来自巴西的垃圾邮件次之，占总量约 27.1%，第三是美国，约占 9.6%。如果从发送垃圾邮件的服务器 IP 归属地来看，美国排名第一占国内企业级用户收到垃圾邮件总量的 49.6%；中国第二，占垃圾邮件总量的 38.4%。对发送垃圾邮件的邮箱域名进行抽样行业分析显示，来自在华境外机构的域名占比最高，为 35.5%；其次是工业制造，占比 12.4%；互联网企业排第三，占比 7.8%。 2017 年下半年，僵尸网络开始被大量的应用于垃圾邮件攻击。在 2017 年 Coremail 论客截获的所有垃圾邮件中，至少有 10%以上的垃圾邮件是由僵尸网络产生。 2017 年，全国企业级邮箱用户共收到各类钓鱼邮件约 239.2 亿封，约占企业级用户邮件收发总量的 4.08%，平均每天约有 6553.4 万封钓鱼邮件被发出和接收。钓鱼邮件的发送者遍布全球，其中，来自巴西的钓鱼邮件最多，占国内企业用户收到的钓鱼邮件的 39.4%；其次是捷克，约占 9.6%；中国排名第三，约占 8.7%。从收到钓鱼邮件的用户分布来看，浙江省受害者最多，有 39.7%的钓鱼邮件被发送至浙江用户；另有约 25.2%的钓鱼邮件被发送给广东用户；约 14.6%的钓鱼邮件被发送给北京用户。 2017 年，全国企业级用户共收到约 124.3 亿封带毒邮件，约占 2017 年企业级邮箱用户收发邮件总量的 2.12%。平均每天约有 3404.7 万封带毒邮件被发出和接收。通过对 2017 年鱼叉攻击邮件抽样分析统计显示，以订单类为主题的鱼叉攻击邮件最多，占比高达 39.8%，排名第二的主题是支付类，占比为 19.4%。攻击者通过鱼叉邮件最喜欢攻击的是各个企业，占比高达 61.5%，其次为金融机构，占比为 14.7%，排名第三的是政府机构，占比为 7.1%。从鱼叉邮件攻击地区知道，受攻击地区主要集中在亚洲、北美洲、欧洲，占比分别为29.8%、 23.1%、 21.9%。在鱼叉邮件攻击中，攻击者在邮件中最喜欢携带的文档为 Office文档，占比高达 65.4%，其次为 RTF（ Rich Text Format）文档占比达到了 27.3%。抽样统计显示，通过宏代码来运行恶意载荷所占比例最大，达到了 59.3%，其次是通过系统漏洞来执行恶意代码的方式，占比为 36.3%。通过统计鱼叉攻击邮件携带的载荷发现，下载者木马占据第一，占比为 38.3%，排名第二和第三的分别是远控木马、信息盗取木马，占比达到了 23.7%和 13.9%。关键词：企业邮箱、垃圾邮件、带毒邮件、钓鱼邮件、鱼叉邮件目录第一章电子邮箱的使用与规模 . 1 一、电子邮箱的使用规模 . 1 二、电子邮箱用户行业分布 . 2 三、电子邮件的地域分布 . 3 四、电子邮件的时域分布 . 4 第二章垃圾邮件 . 6 一、垃圾邮件的规模 . 6 二、垃圾邮件发送源 . 6 三、垃圾邮件受害者 . 8 四、垃圾邮件时域分布 . 9 五、垃圾邮件与僵尸网络 . 11 第三章钓鱼邮件 . 13 一、钓鱼邮件的规模 . 13 二、钓鱼邮件发送源 . 13 三、钓鱼邮件受害者 . 13 四、钓鱼邮件时域分布 . 14 第四章带毒邮件 . 17 第五章鱼叉邮件的全球攻击 . 19 一、概述 . 19 二、鱼叉攻击邮件综合分析 . 19 （一）邮件主题分析 . 19 （二）攻击行业分析 . 20 （三）攻击地区分析 . 21 （四）发件邮箱分析 . 22 三、鱼叉攻击邮件携带文档分析 . 23 （一）携带文档类型 . 23 （二）攻击触发方式 . 23 （三）最终攻击载荷 . 24 四、鱼叉攻击邮件携带文档攻击案例 . 25 （一）利用漏洞攻击案例 . 25 （二）带毒宏攻击案例 . 28 （三）带交互的恶意对象攻击案例 . 29 （四）嵌入带毒程序攻击案例 . 31 第六章国内鱼叉邮件攻击典型案例 . 33 一、摩诃草组织的鱼叉邮件攻击 . 33 二、针对某特殊行业工业企业的鱼叉邮件攻击 . 34 （一）仿冒 OA 钓鱼 . 34 （二）带毒邮件附件 . 35 附录 1 2017 年中国十大电子邮箱弱密码 . 37 附录 2 2017 年全球十大电子邮件安全事件 . 38 一、谷歌被令交出国外服务器上的电子邮件 . 38 二、雅虎又泄露 3200 万账户数据 . 38 三、黑客以公布电子邮件要挟社会团体 . 38 四、黑客在暗网上兜售 2000 多万个 GMAIL账户 . 38 五、美国两家科技公司被欺诈邮件骗取 1 亿美元 . 38 六、 NECURS 僵尸网络重操旧业发送垃圾邮件 . 39 七、丹麦称国防部和外交部邮箱遭俄黑客入侵 . 39 八、加拿大贝尔 190 万个邮箱地址遭黑客窃取 . 39 九、富国银行发错邮件导致 5 万客户信息泄露 . 39 十、美国新型税务邮件诈骗来袭 . 39 附录 3 第三方电子邮件安全研究成果摘要 . 40 一、电子邮件欺诈增长 2370% . 40 二、勒索软件已成最流行的邮件投递恶意程序 . 40 三、银行木马 URSNIF通过垃圾邮件进行传播 . 40 四、全球约 1/3 大企业 CEO 的邮箱账户和密码可能遭泄露 . 40 五、邮件地址解析漏洞影响全球 33 家邮件服务商 . 40 六、两种模拟钓鱼攻击的点击率接近 100% . 41 七、全球过半互联网邮件服务器受严重漏洞影响 . 41 附录 4 各国最新电子邮件安全政策参考摘要 . 42 一、美国众议院通过对电子邮件新的隐私保护法案 . 42 二、美国国家犯罪局 (NCA)力推 DMARC 协议 . 42 三、美 DHS 发布新规强化 WEB安全和邮件安全 . 42 1 第一章电子邮箱的使用与规模一、电子邮箱的使用规模根据 Coremail 论客与 360 威胁情报中心的联合监测，同时综合网易、腾讯、阿里巴巴等主流企业级邮箱服务提供商的公开数据进行分析评估，截止 2017 年 12 月，活跃的中国政企机构独立邮箱域名约为 500 万个，中国境内企业级电子邮箱活跃用户规模约为 1.2 亿。从电子邮箱的使用情况来看， 2017 年，全国企业级电子邮箱用户共收发各类电子邮件约 5861.9 亿封，平均每天收发到电子邮件约 16.1 亿封。其中，正常邮件占比约为 25.4%，普通垃圾邮件占比为 64.7%、钓鱼邮件 4.08%、带毒邮件 2.12%、谣言反动邮件 2.23%，色情、赌博等违法信息推广邮件约 1.47%。也就是说， 2017 年，在邮件系统收发的邮件中，仅有约 1/4 为正常邮件，垃圾邮件及其他各类非法、恶意邮件等非正常邮件的数量，是正常邮件数量的三倍左右。仅就正常邮件而言，统计显示，全国企业级邮箱用户在 2017 年共收发正常电子邮件约1488.9 亿封，平均每天发送正常电子邮件约 4.08 亿封，人均每天发送电子邮件约 3.4 封。不同于个人邮箱，企业级邮箱的主要用途是办公。因此，同一机构内部邮件互发往往会比较频繁。抽样统计显示，企业用户发送的电子邮件中，约 30.8%为机构内部邮件， 21.4%为外部邮件， 47.8%为内外通发邮件（收件人既有机构内部，也有机构外部）。 2 二、电子邮箱用户行业分布对中国政企机构独立邮箱域名的抽样分析显示，工业制造类企业注册的邮箱域名最多，占比为 27.6%，其次是交通运输行业占比 9.3%，外资机构占比 8.6%；还有 IT 信息技术占比6.1%，互联网企业占比 5.9%，金融行业占比 5.6%等，这些都属于电子邮箱使用独立域名较多的行业。如果从正常邮件的发送量上来看，工业制造和教育培训机构发送的邮件数量最多，占比均为 16.7%；其次是媒体占比为 13.7%，交通运输行业占比 10.6%；还有 IT 信息技术占比5.6%，科研机构占比 5.5%，互联网企业占比 4.4%，金融行业占比 4.3%，也都是邮件发送量较多的行业。对比独立邮箱域名注册量和邮件发送量，可以看出，就单个政企机构而言，教育培训，媒体、科研机构、医疗卫生等行业对邮件办公的依赖度最高。特别的，本次报告对 .edu（教育）、（组织机构）和 .gov（政府）三个域名的邮箱使3 用情况进行了分析。其中， .edu 邮箱域名在全国占比为 4.53%，和 .gov 的邮箱域名占比均约为 0.99%。而从正常邮件发送量上来看， .edu 邮箱占 13.5%，邮箱占 0.85%， .gov 邮箱占 0.57%。三、电子邮件的地域分布统计显示，中国政企机构使用的企业级邮箱的服务器呈现出少数地区高度集中的状态。从邮箱域名数量统计来看，约半数以上的企业级邮箱服务器设在杭州（ 53.0%）；其次是北京，占比为 16.3%；深圳排第三，占比为 10.0%。下图给出了中国企业级邮箱服务器城市分布情况。而从国内企业级邮箱的活跃用户数量来看，广州用户最多，占全国用户数的 10.6%；其次为北京，占全国用户数的 9.9%；上海排第三，占全国用户的 7.0%。下图给出了中国企业级邮箱活跃用户数排名全国 TOP10 的城市及其用户数在全国的占比。 4 四、电子邮件的时域分布根据 Coremail 论客与 360 威胁情报中心的联合监测显示， 2017 年 3 月是企业用户正常电子邮件收发量的全年高峰，其次是 11 月和 9 月。而从非正常邮件（包括垃圾邮件、钓鱼邮件、带毒邮件、违法邮件等）收发量来看， 10 月是 2017 年的最高峰，其次是 11 月和 9月。下图给出了 2017 年中国企业级邮箱用户每月邮件收发量分布情况。以一周七天为周期进行分析可以发现，周三、周四是企业用户正常电子邮件收发的高峰期，而周六、周日的发送的正常电子邮件则非常少。非正常邮件每周的发送高峰也在周三和周四，但周六和周日也保持了较高的发送量。下图给出了中国企业级邮箱用户每周邮件收发量分布情况。