(一)暴力破解數量走勢
圖:2022Q2~Q4 CAC中心攔截暴力破解攻擊次數
圖:2022Q2~Q4 CAC中心識别全網郵箱賬号被攻擊破解次數
根據CAC中心監測,Q4季度全國企業級使用者遭受超過18.34億次暴力破解,相比于Q3的71.68億次暴力破解,環比降幅約為74.4%,無差别的的暴力破解攻擊大幅下降。
根據Coremail郵件安全專家推測,出現這樣攻擊次數大幅下降的反常現象有以下幾個原因:
(1)前期攻擊者在嘗試探測使用者的真實賬号。在這個過程中,攻擊者并不确定哪些是使用者正常使用的賬号,隻能嘗試反複攻擊多個具有特定命名規則或字典中的賬号。在密碼字典長度恒定的前提下,此時攻擊的總數量與被攻擊賬号呈正比關系,是以Q2~Q3攻擊者暴破次數處于一個較高的水準。
(2)Q2-Q3攻擊者實際已經通過暴力破解拿到了足夠多的的賬号數量,在Q4的時候将工作重心從撒網攻擊,變成了利用潛伏賬号進行收割.,在這個“收割”階段,攻擊者會使用潛伏的被盜賬号進行釣魚或大量發送垃圾郵件,是以會出現暴力破解次數大幅下滑,但高危賬号數量穩中有升的情況。
(3)同時,11~12月全國範圍内受新冠影響,全網網絡安全攻擊态勢有所緩解,推測為黑産團夥活動頻率下降。
(4)值得一提的是,Coremail在賬号安全防護體系中,開始注重登入IP的信譽評分,并将這些資料進行全網關聯出現高風險暴破行為則會觸發封禁規則,随着被封禁IP的數量增加,也會對攻擊者的攻擊行為形成一定的打擊。
(二)暴力破解IP來源宏觀分析
圖:2022,Q4暴力破解IP來源 TOP10歸屬地(境外)
據上圖可知,境外歸屬地分析中,來自美國暴力破解IP來源占據榜首。Q4,Coremail合計攔截4399.2萬次暴力破解,是排名第二歸屬地歐盟的的1.2倍。
圖:2022,Q4暴力破解IP來源 TOP10歸屬地(中國)
(三)暴力破解受害者行業分布
圖:2022 Q4 CAC中心識别暴力破解攻擊次數 TOP 100域名行業分類
圖:2022 Q4 CAC中心 識别高危賬号 TOP 100域名行業分類
為了分析各行業面臨的郵件威脅壓力,CAC中心從接收釣魚郵件數量、接收垃圾郵件數量、被暴力破解攻擊次數等方面,選取了TOP 100域名,按照域名歸屬的行業進行了分類,以便為廣大安全從業人員提供更可靠的參考。
據分析,2022 Q4 TOP100域名CAC中心識别高危賬号中,教育行業占比55%,識别去重高危賬号9203個。其中福建某高校占比34%,被盜賬号達3205個。這說明TOP100域名高危賬号行業分類中,某些客戶由于域内賬号安全管控尚不完善,造成旗下被盜賬号衆多,是影響行業分類的重要原因。