360：2017中國企業郵箱安全性研究報告(48頁)（48頁）.pdf

1、 2017 中國企業郵箱安全性 研究報告 2018 年 5 月 8 日 主要觀點 電子郵箱的電子郵箱的使用使用 電子郵件是政企機構辦公的重要工具。 截止 2017 年 12 月， 活躍的中國政企機構獨立郵 箱域名約為 500 萬個，中國境內企業級電子郵箱活躍用戶規模約為 1.2 億。全國企業級 電子郵箱用戶平均每天收發到電子郵件約 16.1 億封。 對比獨立郵箱域名注冊量和郵件發送量，可以看出，就單個政企機構而言，教育培訓， 媒體、科研機構、醫療衛生等行業對郵件辦公的依賴度最高。 非非正常郵件正常郵件的的收發收發 在企業級電子郵箱用戶收發的郵件中，正常郵件占比約為25.4%，普通垃圾郵件占比

2、為 64.7%、釣魚郵件 4.08%、帶毒郵件 2.12%、謠言反動郵件 2.23%，色情、賭博等 違法信息推廣郵件約 1.47%。也就是說，2017 年，在郵件系統收發的郵件中，僅有 約 1/4 為正常郵件，垃圾郵件及其他各類非法、惡意郵件等非正常郵件的數量，是 正常郵件數量的三倍左右。 來自國內的垃圾郵件發送者最多，占總量約 30.4%，來自巴西次之，占總量約 27.1%， 第三是美國，約占 9.6%。 釣魚郵件的發送者遍布全球，其中，來自巴西的釣魚郵件最多，占國內企業用戶收到的 釣魚郵件的 39.4%；其次是捷克，約占 9.6%；中國排名第三，約占 8.7%。 僵尸網絡僵尸網絡 2017

3、 年下半年， 僵尸網絡開始被大量的應用于垃圾郵件攻擊。 在 2017 年 Coremail 論客 截獲的所有垃圾郵件中， 至少有 10%以上的垃圾郵件是由僵尸網絡產生。 與傳統的垃圾 郵件攻擊方式不同， 使用僵尸網絡發送垃圾郵件的攻擊者并非是通過少數被控制的郵箱 集中大量發送內容完全相同的電子郵件， 而是通過其控制的大量散布在全球各地的各類 電子郵箱， 分時、 分布式的發送大量內容并不完全相同， 但具有一定相關性的垃圾郵件。 僵尸網絡發送垃圾郵件的特點， 使得大多數傳統的反垃圾郵件網關及傳統的反垃圾郵件 策略難以奏效。 只有通過大數據關聯分析技術， 才能發現此類攻擊的蹤跡并進行有效的 防護。預

4、計未來 1-2 年內，僵尸網絡有可能成為最主要的垃圾郵件發送源。 魚魚叉郵件叉郵件 針對魚叉攻擊郵件的抽樣分析顯示，以訂單類為主題的魚叉攻擊郵件最多，占比高達 39.8%，排名第二的主題是支付類，占比為 19.4%。 攻擊者通過魚叉郵件最喜歡攻擊的是各個企業，占比高達 61.5%，其次為金融機構，占 比為 14.7%，排名第三的是政府機構，占比為 7.1%。 在魚叉郵件攻擊中， 攻擊者在郵件中最喜歡攜帶的文檔為Office文檔， 占比高達65.4%， 其次為 RTF（Rich Text Format）文檔占比達到了 27.3%。 通過對摩訶草組織及國內某特殊行業工業企業遭到魚叉郵件攻擊的分析可

5、以發現， 攻擊 者大量使用社會工程學手法，郵件極具迷惑性，普通人很難識破。 摘 要 截止 2017 年 12 月， 活躍的中國政企機構獨立郵箱域名約為 500 萬個， 中國境內企業級 電子郵箱活躍用戶規模約為 1.2 億。 2017 年，全國企業級電子郵箱用戶共收發各類電子郵件約 5861.9 億封，平均每天收發 到電子郵件約 16.1 億封。 其中， 正常郵件占比約為25.4%， 普通垃圾郵件占比為 64.7%、 釣魚郵件 4.08%、帶毒郵件 2.12%、謠言反動郵件 2.23%，色情、賭博等違法信息推 廣郵件約 1.47%。 如果從正常郵件的發送量上來看， 工業制造和教育培訓機構發送的郵

6、件數量最多， 占比 均為 16.7%；其次是媒體占比為 13.7%，交通運輸行業占比 10.6%。對比獨立郵箱域名 注冊量和郵件發送量，可以看出，就單個政企機構而言，教育培訓，媒體、科研機構、 醫療衛生等行業對郵件辦公的依賴度最高。 從國內企業級郵箱的活躍用戶數量來看， 廣州用戶最多，占全國用戶數的 10.6%；其 次為北京，占全國用戶數的 9.9%；上海排第三，占全國用戶的 7.0%。 2017 年，全國企業級郵箱用戶共收到各類垃圾郵件約 3792.6 億封，約占企業級用戶郵 件收發總量的 64.7%，是企業級用戶正常郵件數量的 2.5 倍。全國企業級用戶平均每天 收到約 10.4 億封各類

7、垃圾郵件。 從發送者郵箱域名歸屬情況來看，來自國內的垃圾郵件最多，占總量約 30.4%，來自巴 西的垃圾郵件次之，占總量約 27.1%，第三是美國，約占 9.6%。如果從發送垃圾郵件的 服務器 IP 歸屬地來看，美國排名第一占國內企業級用戶收到垃圾郵件總量的 49.6%； 中國第二，占垃圾郵件總量的 38.4%。 對發送垃圾郵件的郵箱域名進行抽樣行業分析顯示， 來自在華境外機構的域名占比最高， 為 35.5%；其次是工業制造，占比 12.4%；互聯網企業排第三，占比 7.8%。 2017 年下半年， 僵尸網絡開始被大量的應用于垃圾郵件攻擊。 在 2017 年 Coremail 論客 截獲的所有

8、垃圾郵件中，至少有 10%以上的垃圾郵件是由僵尸網絡產生。 2017 年， 全國企業級郵箱用戶共收到各類釣魚郵件約 239.2 億封， 約占企業級用戶郵件 收發總量的4.08%，平均每天約有 6553.4 萬封釣魚郵件被發出和接收。 釣魚郵件的發送者遍布全球，其中，來自巴西的釣魚郵件最多，占國內企業用戶收到的 釣魚郵件的 39.4%；其次是捷克，約占 9.6%；中國排名第三，約占 8.7%。 從收到釣魚郵件的用戶分布來看，浙江省受害者最多，有 39.7%的釣魚郵件被發送至浙 江用戶；另有約 25.2%的釣魚郵件被發送給廣東用戶；約 14.6%的釣魚郵件被發送給北 京用戶。 2017 年，全國企

9、業級用戶共收到約 124.3 億封帶毒郵件，約占 2017 年企業級郵箱用戶 收發郵件總量的 2.12%。平均每天約有 3404.7 萬封帶毒郵件被發出和接收。 通過對 2017 年魚叉攻擊郵件抽樣分析統計顯示， 以訂單類為主題的魚叉攻擊郵件最多， 占比高達 39.8%，排名第二的主題是支付類，占比為 19.4%。 攻擊者通過魚叉郵件最喜歡攻擊的是各個企業，占比高達 61.5%，其次為金融機構，占 比為 14.7%，排名第三的是政府機構，占比為 7.1%。 從魚叉郵件攻擊地區知道，受攻擊地區主要集中在亞洲、北美洲、歐洲，占比分別為 29.8%、 23.1%、21.9%。 在魚叉郵件攻擊中， 攻

10、擊者在郵件中最喜歡攜帶的文檔為Office文檔， 占比高達65.4%， 其次為 RTF（Rich Text Format）文檔占比達到了 27.3%。 抽樣統計顯示，通過宏代碼來運行惡意載荷所占比例最大，達到了 59.3%，其次是通過 系統漏洞來執行惡意代碼的方式，占比為 36.3%。 通過統計魚叉攻擊郵件攜帶的載荷發現，下載者木馬占據第一，占比為 38.3%，排名第 二和第三的分別是遠控木馬、信息盜取木馬，占比達到了 23.7%和 13.9%。 關鍵詞：關鍵詞：企業郵箱、垃圾郵件、帶毒郵件、釣魚郵件、魚叉郵件 目 錄 第一章 電子郵箱的使用與規模 . 1 一、 電子郵箱的使用規模 . 1 二

11、、 電子郵箱用戶行業分布 . 2 三、 電子郵件的地域分布 . 3 四、 電子郵件的時域分布 . 4 第二章 垃圾郵件 . 6 一、 垃圾郵件的規模 . 6 二、 垃圾郵件發送源 . 6 三、 垃圾郵件受害者 . 8 四、 垃圾郵件時域分布 . 9 五、 垃圾郵件與僵尸網絡 . 11 第三章 釣魚郵件 . 13 一、 釣魚郵件的規模 . 13 二、 釣魚郵件發送源 . 13 三、 釣魚郵件受害者 . 13 四、 釣魚郵件時域分布 . 14 第四章 帶毒郵件 . 17 第五章 魚叉郵件的全球攻擊 . 19 一、 概述 . 19 二、 魚叉攻擊郵件綜合分析 . 19 （一） 郵件主題分析 . 19

12、 （二） 攻擊行業分析 . 20 （三） 攻擊地區分析 . 21 （四） 發件郵箱分析 . 22 三、 魚叉攻擊郵件攜帶文檔分析 . 23 （一） 攜帶文檔類型 . 23 （二） 攻擊觸發方式 . 23 （三） 最終攻擊載荷 . 24 四、 魚叉攻擊郵件攜帶文檔攻擊案例. 25 （一） 利用漏洞攻擊案例 . 25 （二） 帶毒宏攻擊案例 . 28 （三） 帶交互的惡意對象攻擊案例 . 29 （四） 嵌入帶毒程序攻擊案例 . 31 第六章 國內魚叉郵件攻擊典型案例 . 33 一、 摩訶草組織的魚叉郵件攻擊 . 33 二、 針對某特殊行業工業企業的魚叉郵件攻擊 . 34 （一） 仿冒 OA 釣魚

13、. 34 （二） 帶毒郵件附件 . 35 附錄 1 2017 年中國十大電子郵箱弱密碼 . 37 附錄 2 2017 年全球十大電子郵件安全事件 . 38 一、 谷歌被令交出國外服務器上的電子郵件 . 38 二、 雅虎又泄露 3200 萬賬戶數據 . 38 三、 黑客以公布電子郵件要挾社會團體 . 38 四、 黑客在暗網上兜售 2000 多萬個 GMAIL賬戶 . 38 五、 美國兩家科技公司被欺詐郵件騙取 1 億美元. 38 六、 NECURS僵尸網絡重操舊業發送垃圾郵件 . 39 七、 丹麥稱國防部和外交部郵箱遭俄黑客入侵 . 39 八、 加拿大貝爾 190 萬個郵箱地址遭黑客竊取 . 3

14、9 九、 富國銀行發錯郵件導致 5 萬客戶信息泄露 . 39 十、 美國新型稅務郵件詐騙來襲 . 39 附錄 3 第三方電子郵件安全研究成果摘要 . 40 一、 電子郵件欺詐增長 2370% . 40 二、 勒索軟件已成最流行的郵件投遞惡意程序 . 40 三、 銀行木馬 URSNIF通過垃圾郵件進行傳播 . 40 四、 全球約 1/3 大企業 CEO 的郵箱賬戶和密碼可能遭泄露 . 40 五、 郵件地址解析漏洞影響全球 33 家郵件服務商 . 40 六、 兩種模擬釣魚攻擊的點擊率接近 100% . 41 七、 全球過半互聯網郵件服務器受嚴重漏洞影響. 41 附錄 4 各國最新電子郵件安全政策參

15、考摘要 . 42 一、 美國眾議院通過對電子郵件新的隱私保護法案 . 42 二、 美國國家犯罪局(NCA)力推 DMARC 協議 . 42 三、 美 DHS 發布新規強化 WEB安全和郵件安全 . 42 1 第一章 電子郵箱的使用與規模 一、 電子郵箱的使用規模 根據 Coremail 論客與 360 威脅情報中心的聯合監測，同時綜合網易、騰訊、阿里巴巴 等主流企業級郵箱服務提供商的公開數據進行分析評估， 截止 2017 年 12 月， 活躍的中國政 企機構獨立郵箱域名約為 500 萬個，中國境內企業級電子郵箱活躍用戶規模約為 1.2 億。 從電子郵箱的使用情況來看，2017 年，全國企業級電

16、子郵箱用戶共收發各類電子郵件 約 5861.9 億封，平均每天收發到電子郵件約 16.1 億封。其中，正常郵件占比約為25.4%， 普通垃圾郵件占比為 64.7%、釣魚郵件 4.08%、帶毒郵件 2.12%、謠言反動郵件 2.23%， 色情、賭博等違法信息推廣郵件約 1.47%。也就是說，2017 年，在郵件系統收發的郵件 中， 僅有約 1/4 為正常郵件， 垃圾郵件及其他各類非法、 惡意郵件等非正常郵件的數量， 是正常郵件數量的三倍左右。 僅就正常郵件而言，統計顯示，全國企業級郵箱用戶在 2017 年共收發正常電子郵件約 1488.9 億封，平均每天發送正常電子郵件約 4.08 億封，人均每

17、天發送電子郵件約 3.4 封。不 同于個人郵箱，企業級郵箱的主要用途是辦公。因此，同一機構內部郵件互發往往會比較頻 繁。抽樣統計顯示，企業用戶發送的電子郵件中，約 30.8%為機構內部郵件，21.4%為外部 郵件，47.8%為內外通發郵件（收件人既有機構內部，也有機構外部） 。 2 二、 電子郵箱用戶行業分布 對中國政企機構獨立郵箱域名的抽樣分析顯示，工業制造類企業注冊的郵箱域名最多， 占比為 27.6%，其次是交通運輸行業占比 9.3%，外資機構占比 8.6%；還有 IT 信息技術占比 6.1%，互聯網企業占比 5.9%，金融行業占比 5.6%等，這些都屬于電子郵箱使用獨立域名較 多的行業。

18、 如果從正常郵件的發送量上來看， 工業制造和教育培訓機構發送的郵件數量最多， 占比 均為 16.7%；其次是媒體占比為 13.7%，交通運輸行業占比 10.6%；還有 IT 信息技術占比 5.6%，科研機構占比 5.5%，互聯網企業占比 4.4%，金融行業占比 4.3%，也都是郵件發送量 較多的行業。 對比獨立郵箱域名注冊量和郵件發送量，可以看出，就單個政企機構而言，教育培訓， 媒體、科研機構、醫療衛生等行業對郵件辦公的依賴度最高。 特別的，本次報告對.edu（教育） 、.org（組織機構）和.gov（政府）三個域名的郵箱使 3 用情況進行了分析。其中，.edu 郵箱域名在全國占比為 4.53

19、%，.org 和.gov 的郵箱域名占比 均約為 0.99%。而從正常郵件發送量上來看，.edu 郵箱占 13.5%，.org 郵箱占 0.85%，.gov 郵 箱占 0.57%。 三、 電子郵件的地域分布 統計顯示，中國政企機構使用的企業級郵箱的服務器呈現出少數地區高度集中的狀態。 從郵箱域名數量統計來看， 約半數以上的企業級郵箱服務器設在杭州 （53.0%） ； 其次是北京， 占比為 16.3%；深圳排第三，占比為 10.0%。下圖給出了中國企業級郵箱服務器城市分布情 況。 而從國內企業級郵箱的活躍用戶數量來看， 廣州用戶最多，占全國用戶數的 10.6%； 其次為北京，占全國用戶數的 9.

20、9%；上海排第三，占全國用戶的 7.0%。下圖給出了中國企 業級郵箱活躍用戶數排名全國 TOP10 的城市及其用戶數在全國的占比。 4 四、 電子郵件的時域分布 根據 Coremail 論客與 360 威脅情報中心的聯合監測顯示，2017 年 3 月是企業用戶正常 電子郵件收發量的全年高峰，其次是 11 月和 9 月。而從非正常郵件（包括垃圾郵件、釣魚 郵件、帶毒郵件、違法郵件等）收發量來看，10 月是 2017 年的最高峰，其次是 11 月和 9 月。下圖給出了 2017 年中國企業級郵箱用戶每月郵件收發量分布情況。 以一周七天為周期進行分析可以發現，周三、周四是企業用戶正常電子郵件收發的高

21、 峰期，而周六、周日的發送的正常電子郵件則非常少。非正常郵件每周的發送高峰也在周 三和周四，但周六和周日也保持了較高的發送量。下圖給出了中國企業級郵箱用戶每周郵 件收發量分布情況。 5 以一天 24 小時（僅限工作日）為監測周期進行分析可以發現，正常郵件在工作日的上 午和下午各有一個收發高峰期， 而非正常郵件的收發量在全天都比較均衡， 且凌晨 0 點-2 點 的收發量相對其他時段更高一些。 6 第二章 垃圾郵件 一、 垃圾郵件的規模 根據 Coremail 論客與 360 威脅情報中心的聯合監測評估，2017 年，全國企業級郵箱用 戶共收到各類垃圾郵件（不包括釣魚郵件、違法郵件和帶毒郵件等）約

22、 3792.6 億封，約占 企業級用戶郵件收發總量的 64.7%，是企業級用戶正常郵件數量的 2.5 倍。全國企業級用戶 平均每天收到約 10.4 億封各類垃圾郵件。 二、 垃圾郵件發送源 Coremail 論客與 360 威脅情報中心對垃圾郵件的發送源頭進行了分析。 從發送者郵箱域 名歸屬情況來看， 來自國內的垃圾郵件最多， 占總量的約 30.4%， 來自巴西的垃圾郵件次之， 占總量約 27.1%，第三是美國，約占 9.6%。 如果從發送垃圾郵件的服務器 IP 歸屬地來看，美國排名第一。來自美國郵件服務器的 垃圾郵件占國內企業級用戶收到垃圾郵件總量的 49.6%，接近一半；中國排名第二，國內

23、郵 件服務器發送的垃圾郵件占垃圾郵件總量的 38.4%。二者之和約為垃圾郵件總量的 88.0%。 7 僅就國內情況來看，根據發送者的域名歸屬地來看，來自北京的垃圾郵件發送者最多， 占國內垃圾郵件發送總量的 21.6%，其次為廣東省，占 15.7%，浙江省，占 14.8%。下圖給 出了國內垃圾郵件發送源域名歸屬省份 TOP10 及其垃圾郵件發送量占比情況。 8 下圖給出了國內垃圾郵件發送源域名歸屬城市 TOP10 及其郵件發送量占比情況。 對發送垃圾郵件的郵箱域名進行抽樣行業分析顯示， 來自在華境外機構的域名占比最高， 為 35.5%；其次是工業制造，占比 12.4%；互聯網企業排第三，占比 7

24、.8%。下圖給出了國內 垃圾郵件發送源行業分布。 三、 垃圾郵件受害者 從收到垃圾郵件的受害者服務器所在地來看， 浙江省用戶收到的垃圾郵件最多， 共收到 了占比高達全國 35.0%的垃圾郵件；其次為廣東省，收到了全國 16.8%的垃圾郵件；北京排 名第三，收到了全國 15.5%的垃圾郵件。下圖給出了國內企業級郵箱用戶中垃圾郵件受害者 的省級行政分布 TOP10。 9 從城市來看，北京用戶收到的垃圾郵件最多，收到了全國約15.5%的垃圾郵件。其次 是杭州用戶，收到了全國 13.0%的垃圾郵件。深圳用戶排第三，收到了全國 5.9%的垃 圾郵件。下圖給出了國內企業級郵箱用戶垃圾郵件受害者城市分布 T

25、OP10。 四、 垃圾郵件時域分布 根據 Coremail 論客與 360 威脅情報中心的聯合監測顯示，2017 年，垃圾郵件的發送高 峰出現在 10 月，占比達全年的 13.0%；1 月最低，全年占比為 4.8%。下圖給出了 2017 年國 內垃圾郵件受害者每月垃圾郵件發送量分布。 10 從一周分布來看，周三和周四的垃圾郵件發送量平均最高，占比均為 16.4%、而周一最 少，占比為 11.3%。但總體來看，垃圾郵件的發送量在一周之內都比較平均。 從工作日 24 小時來看；垃圾郵件發送量的全天分布比較均勻，但整體上呈現出自凌晨 至午夜不斷下降的趨勢。 而從非工作日來看， 雖然大體上也呈現出自凌

26、晨至午夜的不斷下降趨勢， 但下降速度更 快更明顯：0 點至 1 點的發送量最高，占全天的 6.9%；而 18 點以后，每個小時的垃圾郵件 發送量都不超過全天的 3%，最高點比最低點多近 1.6 倍。 造成這種“凌晨攻擊”現象的原因，很可能是因為垃圾郵件的攻擊者更愿意在郵件服務 器的使用低峰期發起攻擊，這樣更不容易被用戶和管理員察覺。 11 五、 垃圾郵件與僵尸網絡 根據 Coremail 論客與 360 威脅情報中心的聯合監測，2017 年下半年，僵尸網絡開始被 大量的應用于垃圾郵件攻擊。綜合統計顯示，在 2017 年 Coremail 論客截獲的所有垃圾郵件 中，至少有 10%以上的垃圾郵件

27、是由僵尸網絡產生。 與傳統的垃圾郵件攻擊方式不同， 使用僵尸網絡發送垃圾郵件的攻擊者并非是通過少數 被控制的郵箱集中大量發送內容完全相同的電子郵件， 而是通過其控制的大量散布在全球各 地的各類電子郵箱，分時、分布式的發送大量內容并不完全相同，但具有一定相關性的垃圾 郵件。 由僵尸網絡發送的垃圾郵件有以下幾不同于傳統垃圾郵件攻擊的特點： 1） 垃圾郵件的發送源通常會零散的分布在全球各地； 2） 單個被控制的郵箱在短時間內發出的垃圾郵件數量并不多，所以不易被察覺； 3） 被攻擊的目標郵箱也呈現分布式狀態，一般沒有明顯的共性； 4） 同一攻擊者發出的垃圾郵件在行為、 內容上具有一定相關性， 但大多并

28、不完全相同。 由于僵尸網絡發送垃圾郵件的這些特點，使得大多數傳統的反垃圾郵件網關及傳統的 反垃圾郵件策略難以奏效。 只有通過大數據關聯分析技術， 才能發現此類攻擊的蹤跡并進行 有效的防護。也正是由于僵尸網絡發送的垃圾郵件難以防范，所以這種攻擊方式的使用在 2017 年 8 月以后大幅增長。預計未來 1-2 年內，僵尸網絡有可能成為最主要的垃圾郵件發 送源。 12 下圖給出了 2017 年各月僵尸網絡發送垃圾郵件數量的規模估算?？紤]到可能仍有大量 僵尸網絡的垃圾郵件攻擊行為未被發現， 所以， 僵尸網絡實際發送的垃圾郵件規?？赡芨?。 13 第三章 釣魚郵件 一、 釣魚郵件的規模 根據 Coremail 論客與 360 威脅情報中心的聯合監測評估，2017 年，全國企業級郵箱用 戶共收到各類釣魚郵件約 239.2 億封，約占企業級用戶郵件收發總量的4.08%，平均每天約 有 6553.4 萬封釣魚郵件被發出和接收。 二、 釣魚郵件發送源 根據 Coremail 論客與 360 威脅情報中心聯合監測， 釣魚郵件的發送者遍布全球， 其中， 來自巴西的釣魚郵件最多，占國內企業用戶收到的釣魚郵件的 39.4%；其次是捷克，約占 9.6%；中國排名第三，約占 8.7%。針對國內企業級用戶發送垃圾郵件