导语:“收割”阶段,攻击者会使用潜伏的被盗账号进行钓鱼或大量发送垃圾邮件,所以会出现暴力破解次数大幅下滑,但高危账号数量稳中有升的情况。
(一)暴力破解数量走势
图:2022Q2~Q4 CAC中心拦截暴力破解攻击次数
图:2022Q2~Q4 CAC中心识别全网邮箱账号被攻击破解次数
根据CAC中心监测,Q4季度全国企业级用户遭受超过18.34亿次暴力破解,相比于Q3的71.68亿次暴力破解,环比降幅约为74.4%,无差别的的暴力破解攻击大幅下降。
根据Coremail邮件安全专家推测,出现这样攻击次数大幅下降的反常现象有以下几个原因:
(1)前期攻击者在尝试探测用户的真实账号。在这个过程中,攻击者并不确定哪些是用户正常使用的账号,只能尝试反复攻击多个具有特定命名规则或字典中的账号。在密码字典长度恒定的前提下,此时攻击的总数量与被攻击账号呈正比关系,所以Q2~Q3攻击者暴破次数处于一个较高的水平。
(2)Q2-Q3攻击者实际已经通过暴力破解拿到了足够多的的账号数量,在Q4的时候将工作重心从撒网攻击,变成了利用潜伏账号进行收割.,在这个“收割”阶段,攻击者会使用潜伏的被盗账号进行钓鱼或大量发送垃圾邮件,所以会出现暴力破解次数大幅下滑,但高危账号数量稳中有升的情况。
(3)同时,11~12月全国范围内受新冠影响,全网网络安全攻击态势有所缓解,推测为黑产团伙活动频率下降。
(4)值得一提的是,Coremail在账号安全防护体系中,开始注重登录IP的信誉评分,并将这些数据进行全网联动出现高风险暴破行为则会触发封禁规则,随着被封禁IP的数量增加,也会对攻击者的攻击行为形成一定的打击。
(二)暴力破解IP来源宏观分析
图:2022,Q4暴力破解IP来源 TOP10归属地(境外)
据上图可知,境外归属地分析中,来自美国暴力破解IP来源占据榜首。Q4,Coremail合计拦截4399.2万次暴力破解,是排名第二归属地欧盟的的1.2倍。
图:2022,Q4暴力破解IP来源 TOP10归属地(中国)
(三)暴力破解受害者行业分布
图:2022 Q4 CAC中心识别暴力破解攻击次数 TOP 100域名行业分类
图:2022 Q4 CAC中心 识别高危账号 TOP 100域名行业分类
为了分析各行业面临的邮件威胁压力,CAC中心从接收钓鱼邮件数量、接收垃圾邮件数量、被暴力破解攻击次数等方面,选取了TOP 100域名,按照域名归属的行业进行了分类,以便为广大安全从业人员提供更可靠的参考。
据分析,2022 Q4 TOP100域名CAC中心识别高危账号中,教育行业占比55%,识别去重高危账号9203个。其中福建某高校占比34%,被盗账号达3205个。这说明TOP100域名高危账号行业分类中,某些客户由于域内账号安全管控尚不完善,造成旗下被盗账号众多,是影响行业分类的重要原因。
如若转载,请注明原文地址