奇安信：2021中国企业邮箱安全性研究报告

中国企业邮箱安全性研究报告年9月组长林延中裴智勇主要编写人员琦朱腾蛟江嘉杰练奕余心相关专家的悉心指导和宝贵建议，在此表示感谢。摘要仅就正常邮件而言，统计显示，全国企业邮箱用户在2021年共收发正常电子邮件约子邮箱使用独立域名较多的行业。名根据Coremail与奇安信行业安全研究中心的联合监测评估，2021年，全国企业邮箱用Coremail球，其根据Coremail与奇安信行业安全研究中心联合监测评估，2021年，全国企业级用户共。研究背景 2主要观点 3第一章电子邮箱的使用与规模 4一、电子邮箱的使用规模 4二、电子邮箱用户行业分布 5三、电子邮件的地域分布 6第二章垃圾邮件 8一、垃圾邮件的规模 8二、垃圾邮件发送源 8三、垃圾邮件受害者 10第三章钓鱼邮件 11一、钓鱼邮件的规模 11二、钓鱼邮件发送源 11三、钓鱼邮件受害者 12第四章带毒邮件 14一、带毒邮件的规模 14二、带毒邮件发送源 14第五章邮件安全应急响应案例 15一、下载破解软件，导致内网终端自动发送恶意邮件 15二、APT组织利用钓鱼邮件进行攻击 16三、能源行业某客户内网收到钓鱼邮件应急事件处置 17 五、BEC(BUSINESSEMAILCOMPROMISE)商业邮件诈骗 20附件1CACTER邮件安全网关产品介绍 22附件2奇安信网神邮件威胁检测系统 242研究背景们毒邮件为主体，从规模、发送源、受害者及典型案例等方面分析中国企业邮箱安全性。Coremail验，3主要观点随着邮件识别技术的持续进步，越来越多的其他恶意邮件(如钓鱼邮件、带毒邮件等)也在迅速增长，值得关注。手段多样且极具迷惑性的特点。的损失。4第一章电子邮箱的使用与规模5而言，统计显示，全国企业邮箱用户在2021年共收发正常电子邮件约22.9%为外部邮件，42.4%为内外通发邮件(收件人既有机构内部，也有机构外部)。6独立域名较多的行业。次图所示：最高。ovcn为0.08%，.邮箱域名占比为0.04%。而从正常邮件发送量上来看，.邮箱占78第二章垃圾邮件Coremail体分布如下图所示：门与邮件服务商)对境内垃圾邮件的源头的持续打击在相当程度上抑制了垃圾邮件的增长。意邮件监测并区分出来。未来此类型邮件的监测和防护也将成为邮件安全领域的主战场。正是由于这些对垃圾邮件的抑制因素使得垃圾邮件的增长速度远不及新增用户的增长正常收发邮件数量的增长速度。98.3%的垃圾邮件；浙江省排第三章钓鱼邮件行的鱼叉邮件攻击。Coremail460.9亿封减少了.8%。级用户邮件收发总量的4.5%，发送钓鱼邮件数量的占比情况如下图所示。邮P钓第四章带毒邮件Coremail共邮件的发送者多集中于北美洲与欧洲。其中，来自美国的带毒邮件最多占全球带毒邮件的分布及占比情况如下图所示。第五章邮件安全应急响应案例一、下载破解软件，导致内网终端自动发送恶意邮件(一)事件概述。员工A主机进行分析发现，该主机中天擎存在多个“永恒之蓝下载器木马”恶意文件拦截记录。继续对其系统日志及计划任务分析发现，事发当天员工A主机曾成功执行永恒之蓝马恶意计划任务。求”。(二)防护建议2)禁止通过非官方渠道下载应用软件，不随意点击来历不明的链接，加强内部人员安序并清除；4)加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略落实(一)事件概述查杀，并溯源攻击路径发现：攻击者为蔓灵花APT团伙。蔓灵花APT团队使用载并运行了钓鱼邮件中的木马文件。木马文件落地后在主机中创建恶意计划任务DefenderUpdater及恶意进程msicexec.exe，使受害主机每隔15分钟向APT恶意域名(二)防护建议内部人员安全意识培训，禁止点击来源不明邮件附件，禁止将敏感信息私2)安装杀毒软件并定期更新病毒库，开启杀毒软件对邮件附件的扫描功能，有效识别事件发生时可提供可靠的追溯依据；5)加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略落实三、能源行业某客户内网收到钓鱼邮件应急事件处置(一)事件概述容进行分析并排查疑似感染终端情况。急人员将其下载至沙箱并解压，发现压缩包内为多个带有恶意宏代码的excel文件，打开后会诱导用户启动宏功能，为自身恶意宏代码创造执行条件。恶意宏代码运行后，会调用powershellEmotettEmotet木马会定期收集根据客户反馈，应急人员对疑似点击了钓鱼邮件的3台员工电脑进行病毒查杀及特征(二)防护建议；力；清除能力；事件发生时可提供可靠的追溯依据；(一)事件概述法的诈骗案多次出现，已有多个互联网公司中招Coremail贴通知，圾反钓鱼检测、骗取“同事”的信任。022,Q1工资诈骗类钓鱼邮件022,Q2工资诈骗类钓鱼邮件的反垃圾检查或邮件网关拦截。(二)防护建议R2)提高邮箱密码策略要求，设置域内必须使用强密码，并建议进行弱密码扫描，及时以防邮箱被盗。3)提高警惕，收到相关补贴通知类邮件请务必进行单位内部确认；切勿轻易点击邮件5)建议进行【反钓鱼演练】，并对公司重要岗位职工(财务、管理层)进行安全意识五、BEC(BusinessEmailCompromise)商业邮件诈骗(一)事件概述查该诈骗团伙使用仿冒域名【@供应商AA.com】发送邮件。此仿冒域名与实际域名【供应进一步排查供应商邮件系统发现，此邮件并非由实际供应商A域名发出，且实际供应商A域名旗下邮箱账号并未被盗，推测为诈骗团伙通过盗取受害企业内部邮箱账号，获得要求业务汇款的BEC诈骗邮件mpromiseBECBEC方式盗取客户，并发起转账诈骗需求或偷偷替换银行账户等行动。大量金钱损失后方才察觉。BEC是冒充商员工的犯罪分子)，同伙常常扮演真实供应商的财务或行政员工。账表单，不含任何敏感信息。巨大损失。(二)防护建议附件1CACTER邮件安全网关产品介绍邮件安全问题，产品涵盖邮件安全网关、CAC防盗号、安全海外中继、重保服务、反钓鱼演练等。客户涵盖国务院新闻办等。CACTER邮件安全网关介绍remailCACTERCAC产品优势精准隔离邮件系统不受恶意邮件威胁。力实时更新CACTER邮件安全网关拥有全国最大的邮件安全数据中心，基于数亿恶意邮件样本，通过l纹检查，有效识别附件型的垃圾邮件。CACTER邮件安全网关采用当今世界上先进的反垃圾邮件技术，包括自研算法——多种部署，支持信创联系我们ercom众号：CACTER邮件安全附件2奇安信网神邮件威胁检测系统用户价值为客户提供更高级的邮件安全防护通过定制化沙箱分析，发现传统邮件安全产品无法侦测的附件高级威胁。通过专业的机器学习模型，发现更隐蔽的钓鱼邮件等社交工程邮件。提供更灵活的安装和部署方式一体和分析。见的投入产出比通过阻止、隔离、移除威