2021中国企业邮箱安全性研究报告

中国企业邮箱安全性研究报告2022年9编写组组长林延中裴智勇主要编写人员刘川琦朱腾蛟江嘉杰练奕余Coremail科技CACCoremail摘要摘要Coremail202153520201.5%1.8202012.5%。仅就正常邮件而言，统计显示，全国企业邮箱用户在2021年共收发正常电子邮件约3379.720209.35.120204.60.9封。册31.1.785；还7.4%，IT7.0%6.1%26.2%21.7%15.0%。Coremail，20213042.190.0%Coremail41.5.3%。Coremail2021609.52020492.120217.98%1.7关键词：企业邮箱、垃圾邮件、带毒邮件、钓鱼邮件目录目录研究背景 2主要观点 3第一章 电子邮箱的使用与规模 4一、 电子邮箱的使用规模 4二、 电子邮箱用户行业分布 5三、 电子邮件的地域分布 6第二章 垃圾邮件 8一、 垃圾邮件的规模 8二、 垃圾邮件发送源 8三、 垃圾邮件受害者 10第三章 钓鱼邮件 一、 钓鱼邮件的规模 二、 钓鱼邮件发送源 三、 钓鱼邮件受害者 12第四章 带毒邮件 14一、 带毒邮件的规模 14二、 带毒邮件发送源 14第五章 邮件安全应急响应案例 15一、下载破解软件，导致内网终端自动发送恶意邮件 15二、APT组织利用钓鱼邮件进行攻击 16三、能源行业某客户内网收到钓鱼邮件应急事件处置 17四、【补贴】主题钓鱼邮件泛滥 18五、BEC（BUSINESSEMAILCOMPROMISE）商业邮件诈骗 20附件1 CACTER邮件安全网关产品介绍 22附件2 奇安信网神邮件威胁检测系统 24PAGEPAGE2研究背景Coremail2016来自Coremail本报告结合了Coremail主要观点）41.0%36.8%。26.2%12.0%7.5%。第一章电子邮箱的使用与规模一、电子邮箱的使用规模Coremail202153520201.5%1.8202012.5%7637.7202015.0%20.9其中，正常邮件占比约为44.3%，普通垃圾邮件占比为39.8%、钓鱼邮件4.5%、病毒邮件8.0%、谣言邮件2.8%，色情、赌博等违法信息推广邮件约0.6%。也就是说，2021年，在邮件系统收发的邮件中，仅有4成左右为正常邮件，垃圾邮件及其他各类非法、恶意邮件等非正常邮件的数量，约是正常邮件数量的1.3倍。仅就正常邮件而言，统计显示，全国企业邮箱用户在2021年共收发正常电子邮件约3379.720209.3电子邮件约5.1封。相比2020年人均每天发送4.6封邮件，增加了0.5封。202134.7%42.4%（。二、电子邮箱用户行业分布31.5%8.5%；还有互联网企业占比7.4%，IT信息技术占比7.0%，金融行业占比6.1%等，这些都属于电子邮箱使用独立域名较多的行业。18.3%14.0%IT对比独立邮箱域名注册量和邮件发送量，可以看出，就单个政企机构而言，教育培训，工业制造与交通运输等行业对邮件办公的依赖度最高。教育和为0.08%，.邮箱域名占比为0.04%。而从正常邮件发送量上来看，.邮箱占3.95%，.1.26%，.0.15%。三、电子邮件的地域分布73.8%；26.2%。从服务器的所在地来看，2021年，国内企业邮箱服务器设在北京的数量排名第一，占比为21.7%；上海排第二，占比为15.0%；深圳排名第三，占比11.1%。第二章垃圾邮件一、垃圾邮件的规模Coremail20213042.139.8%90.0%）正是由于这些对垃圾邮件的抑制因素使得垃圾邮件的增长速度远不及新增用户的增长速度与正常收发邮件数量的增长速度。二、垃圾邮件发送源Coremail（30.2%。47.8%18.1%6.3%18.2%17.2%TOP1020214.9%1010三、垃圾邮件受害者20.0%18.3%12.2%省级行政分布。1111第三章钓鱼邮件一、钓鱼邮件的规模OACEOCEOCoremail2021342.22020460.92021年全国企业邮箱用户收到的钓鱼邮件数量约占企业级用户邮件收发总量的4.5%，平均每天约有0.9亿封钓鱼邮件被发出和接收。二、钓鱼邮件发送源Coremail5.3%11PAGE217.9%14.1%三、钓鱼邮件受害者38.3%14.2%12.4%202170.6%26.2%12.0%7.5%第四章带毒邮件一、带毒邮件的规模Coremail2021收到约609.52020年收到的492.123.9%。20217.98%1.7二、带毒邮件发送源Coremail4.7%第五章邮件安全应急响应案例一、下载破解软件，导致内网终端自动发送恶意邮件（一）事件概述2021年3月，奇安信安服应急响应团队接到制造业某企业应急响应请求，其内网中多个终端出现自动发送恶意邮件行为，希望对该事件进行分析排查处理。15:32由员工AAAAAA图2-7：攻击路径图（二）防护建议PCACLPC浏览网页或启动客户端时注意CPU/GPU二、APT组织利用钓鱼邮件进行攻击（一）事件概述20216APT查杀，并溯源攻击路径发现：攻击者为蔓灵花APT团伙。蔓灵花APT团队使用songxxx@载并运行了钓鱼邮件中的木马文件。木马文件落地后在主机中创建恶意计划任务DefenderUpdater及恶意进程msicexec.exe，使受害主机每隔15分钟向APT恶意域名/xingsu/asp.php（二）防护建议PCACLPC三、能源行业某客户内网收到钓鱼邮件应急事件处置（一）事件概述202112excel会诱导用户启动宏功能，为自身恶意宏代码创造执行条件。恶意宏代码运行后，会调用powershellEmotettEmotet主机信息并将数据加密上传至C2服务器，使服务器沦为Emotet3Emotetexcelexcel文档，功能为下载并执行Emotet（二）防护建议四、【补贴】主题钓鱼邮件泛滥（一）事件概述185Coremail20211220226”“”“”XXXXX+XXX关于发2022,Q1工资诈骗类钓鱼邮件2022,Q2工资诈骗类钓鱼邮件Coremail已对拦截策略进行优化，同时将此类邮件的相关特征更新到云端特征库。目前CAC中心已实现对相似特征的有效拦截。pdfwordtxt（二）防护建议CACTER（96110APP2020五、BEC（BusinessEmailCompromise）商业邮件诈骗（一）事件概述2021月，CoremailAA.comA.comSPFAA要求业务汇款的BEC诈骗邮件22PAGE1BEC（BusinessEmailCompromise）BEC攻BECBEC除域名伪造外，攻击者常用的攻击方式还包含以下2种特征。特征A：抄送来自被冒充供应商的多个角色BEC（）特征B：初始请求风险极低通常，攻击者的初始请求只是简单地要求对方确认一份转账表单，不含任何敏感信息。然而，一旦目标公司员工进行了回复，就会与攻击者之间建立起信任链，随着交流的加深，攻击者与其他员工的互动将会逐渐可信。对应的防御手法还包括：域名仿冒检测、域名信息分析、邮件内容分析。BEC往往不携带可检测的URL（二）防护建议使用CACTER（96110APP附件1 CACTER邮件安全网关产品介绍CoremailCACTER2021年，CACTER邮件安全网关介绍2021年，CoremailCACTERCAC99.8%，支持邮箱品牌包括Coremail、Exchange、O365、Gmail、IBMDomino、lotusnotes。产品优势恶意邮件精准隔离CACTER检测能力实时更新CACTER恶意链接保护CACTER+加密附件检测附件检测：部分病毒邮件使用加密压缩的附件，能够绕过反病毒检测，如近期泛滥的Emotet病毒邮件攻击。PDFwordExcelCACTER邮件安全网关采用当今世界上先进的反垃圾邮件技术，包括自研算法NEVER1.099.8%0.02%多种部署，支持信创CACTER/软件/CoremailExchangeO365Gmail、IBMDomino、lotusnotes联系我们官方网站：服务热线：400-000-1631微信公众号：CACTER邮件安全附件2 奇安信网神邮件威胁