一年一度的国家级攻防演练正如火如荼进行中，当“九年来最难HW”、“重点关照关基设施供应链安全”等消息落地为一次次变幻莫测的袭击，试炼的是红蓝双方的攻防极限。面对红队狠辣的攻势，从第一天开始，各大知名软件系统破绽及威胁便频频爆出，破绽情报数据更是让人不寒而栗，这也让防御方得以充分发现其系统中潜藏的各类薄弱环节。

方向标FangMail重点参与并聚焦的，依旧是邮件攻防端。它是红队最喜爱的、“百年不变”的袭击手段：脆弱的端口、波谲云诡的设计形式，可以规避安全防御举措并尽可能减少被检测到的风险，以更快速化、隐蔽化的方式获取到信息系统管理权限、核心数据等，进而通过链式袭击策略，通过一系列精心设计的袭击步骤逐步深入目标系统，并最终获得对系统的完全控制。尽管这些袭击一浪高过一浪，却并非无迹可循，FangMail在去年的值守总结中，已经做过一些归类与汇总：

发放补贴福利的“热情HR”、不断发送退税喜讯的“税务员”，“知名大牌”给你的折扣礼品券、警醒的“网友群众”举报信、漂亮的求职“简历”、特定岗位的工作请求、打着hw旗号干着窥探系统权限的事、十分严厉紧迫的“行政处罚”、精美的假登录页面......红队的这些动作，都指向得分目标：拿到权限后，以内网为跳板、横向移动、隐秘通信，对目标靶进行渗入，从而获取数据和袭击目标系统，最后整理成果、上交报告。（可详见：《如何从容应对新型网络袭击 | FangMail在护网行动中的值守总结》 ）

在“最难、最长HW”重压之下，凭借卓越非凡的邮件安全防护系统，FangMail在过去一个多月参与客户HW值守中，拦截了超过99.99%的钓鱼、木马、恶意邮件以及各种垃圾邮件，其中，对袭击性邮件的拦截率接近100%，且误报率几乎为0，基本实现“0误报、0漏报”。以下为值守期间的防护数据统计（待补充）：

当“双0”成绩成为常态、当二维码识别、网盘钓鱼识别，加密附件提取识别和OCR图片识别能力成为防护刚需，在今年的关基单位HW一线，我们也看到，以恶意URL链接方式为主的新型钓鱼邮件，其到达目标者达成袭击目的的速度更迅速、逃逸SEG检测可能大幅增加，而这种新型的钓鱼方式，给电子邮件安全防护团队带来更多挑战。纵观全球，有能力应对并解决该挑战的仅为少数。FangMail凝结多年一线实战攻防经验，精心打造的新防护利器——URL容器检测平台，为客户单位献上了“锦囊”一份！切实做到了攻防一线“有数、有策、有方、有底”的“四有”蓝队。

遭遇变化多端的URL袭击 更佳选择不是“躺平”

今年的HW工作过半，不集中办公的钓鱼天团红队兵强马壮，构建的新型钓鱼邮件内容更是鬼出电入。来分享下FangMail URL容器检测平台拦截下来的这些钓鱼样本：

1. 在邮件正文、或附件压缩包中，加入恶意袭击钓鱼URL，甚至贴合特定场景模拟工作刚需的内容，以此加强信任度。

样本1：

n 内容分析：伪造真实企业的开票信息，并植入恶意URL引导下载；

n URL分析：用户访问URL后，还需手动点击下载“开票文档”，这种非自动下载形式的目的是为了提高可信度；

n 拦截分析：URL容器检测访问该URL后，进行二次下载，检测出下载的压缩包内含恶意可执行文件，最终该邮件被判定为恶意邮件并阻断。

样本2：

n 内容分析：邮件中的内容为新型生成式话术，定制财务场景工作内容，来提高邮件的可信度，并且邮件伪造合法组织（银行），其目的是为了诱导用户访问URL，是典型的定向精准鱼叉袭击，收信人可能是事先被袭击者了解过，可能为负责邮件内容描述的工作负责人，因此极大增加了可信度和用户点击的概率；

n URL分析：邮件中URL为新注册的域名（于7.24日注册），目的是为了增加隐蔽性；同时，邮件中的URL为文本形式出现，需手动复制粘贴访问，目的是为了绕开检查；

n 拦截分析：提取邮件中的文本URL推送给容器检测分析，模拟真实访问此URL后下载了一个文件，再对此文件进行木马扫描，最终该邮件被容器检测判定为包含木马并阻断。

2. “GIF、网盘、图片二维码”老三样叠加上URL诱导用户点击下载，“新三样”看似纯良无害，可绕开邮件网关传统检测手段，轻松打进去没商量。

样本3：

n 内容分析：伪装成人力部门发送加薪名单等通知，诱导用户下载访问附件。

n URL分析：邮件附件为Html方式，访问Html会自动下载GIF图片。目的是为了绕开邮件网关对内容和二维码等检测手段。

n 拦截分析：网关检测到Html附件推送至URL容器进行检测，容器访问Html后会自动下载GIF图片，最终被判定为钓鱼后阻断。

样本4：

n 内容分析：伪造政府发布涉税检查，诱导用户点击URL查询；

n URL分析：邮件中的URL为真实网盘链接，本身没有任何风险，但需手动点击下载一个exe安装文件；

n 拦截分析：推送至URL容器检测后，发现访问后点击下载了一个高风险的exe，最终该邮件被容器判定为木马邮件并阻断。

样本5：

n 内容分析：邮件中携带图片，点击图片会跳转访问钓鱼网站；

n URL分析：邮件正文中携带的图片，看似是网络图片，实则在图片上加了一个A标签，点击图片后会自动访问URL钓鱼网站；

n 拦截分析：当网关检测到A标签内的URL推送给容器检测，访问后识别出钓鱼网站，最终该邮件被判定为木马邮件并阻断。

样本6：

n 内容分析：“新三样”用老话术，伪装成政府机构发送综合补贴等通知，诱导用户扫描二维码；而邮件中携带的图片为网络链接图片，此类邮件为欺诈窃取信息类钓鱼；

n 图片分析：该图片为网络链接方式的图片，目的是为了绕开网关常规的图片、二维码检测；

n 拦截分析：URL容器访问网络图片后，将图片下载至本地后进行二维码解析并检测，最终该邮件被判定为钓鱼邮件并阻断。

3. 伪造各种信息，利用附件文档为跳板嵌入URL，增加可信度，背后是恶意木马，或加入自动下载可执行文件直接发动系统袭击。

样本7：

n 内容分析：利用国际物流型关基单位的工作特点，伪造贸易询盘邮件；

n 附件URL分析：在邮件附件的xls文档中，嵌入自运行URL，同时模拟伪造订单报价信息，正文内容和附件内容看似正常，增加可信度；

n 拦截分析：URL容器访问后检测出此URL自动下载了.hta的可执行文件，最终该邮件被判定为恶意邮件并阻断。

样本8：

内容分析：又是伪造人力资源部给各部门领导发送薪水调整通知，诱导用户下载一个看似是PDF的HTML文件，并自动下载。

附件URL分析：访问该HTML附件，会自动执行下载二维码GIF图片，目的是为了绕开邮件网关对内容和二维码动图等检测手段。

拦截分析：URL容器检测访问HTML后，自动下载二维码图片，最终被判定为钓鱼后阻断。

样本9：

内容分析：该邮件含有伪造海外客户的贸易询盘信息，并在附件放入HTML文档，自动调用下载恶意exe；

附件Html分析：附件HTML携带一个编码的恶意附件，打开会自动调用下载exe可执行文件；

拦截分析：容器检测系统访问该Html后会自动下载恶意类exe文件，最终该邮件被判定为恶意邮件并阻断。

4. 在正文中携带短网址，同时在内容中伪造供应链报价信息，逃逸网关检测并增加内容信任度。

样本10：

内容分析：内容为正常的外贸供应链商品询价信息；

URL分析：该URL短链接访问后，会自动跳转到另一个网址，跳转后会自动下载一个木马文件。

拦截情况：URL容器检测模拟访问后跳转到另一个网址并且自动下载了一个doc文档，最终被判定为木马并阻断。

样本11：

容分析：依旧是基于社工开展的个税申报登记二维码，且叠加上紧张的处罚气氛；如果再盗用企业HR官方邮箱账号在内部发送，想必扫码填写的会有更多；

URL分析：该URL短链接为貌似正常的中文短链接，传统网关检测手段无法发现异常。当用户点击该链接，会自动跳转到二维码钓鱼链接页面；

拦截情况：使用URL容器检测后发现，原始链接下载并解析背后二维码，被判别为恶意并顺利阻断。

5. 利用正常的URL网盘链接，诱导用户访问，点击下载后植入木马文件。

内容分析：伪装成律所发送拖欠合同款的诉讼材料，制造紧张气氛诱导用户访问URL；

URL分析：访问该URL是正常的网盘地址，需手动点击下载附件；

拦截分析：容器检测模拟访问、模拟点击下载一个文件，检测到该文件携带木马，最终被判定为木马并阻断。

奇袭突围下，智能利器精准防护，化网络袭击风险于无形

2024“HW”行动的强度再次提升、时间范围再次拉长，目标旨在通过实际袭击场景中暴露出的各种破绽和不足，对信息系统和网络安全平台进行全面的实战验证，发现出防护策略在执行过程中的偏差和疏漏，为进一步的调整和优化提供准确依据。聚焦在邮件安全领域，随着袭击技术的不断进步，钓鱼等恶意类袭击的手段呈现出高度多样化、智能化和隐蔽化趋势。攻方处心积虑、翻空出奇，为了绕过安全网关过滤，在邮件中加入貌似正常的URL链接，使邮件网关很难检测到异常，从而投递给邮件系统及收件人。收件人点击这种URL链接时，会自动跳转到袭击者精心布置的钓鱼URL页面。这种新型钓鱼方式，给企业方电子邮件安全团队带来挑战。

持续加强邮件安全系统的建设和技术升级成为至关重要的一步，以不断提升信息安全防御系统的能力，确保能够拦截住最新形势的高风险邮件。FangMail的URL容器检测系统是国际网络安全领域中少数几个能够应对并有效防御包含各种URL形式袭击邮件的智能利器。“难题迎刃而解心自宽”，在今年的攻防演练中，FangMail打造的“智能化邮件安全网关+URL容器检测”增强方案为各重要关基单位提供了稳定而高效的邮件安全服务，充分展示了技术领先优势。值得一提的是，该方案的智能化程度高，极大地减轻了防守方人工值守与研判的繁重任务，有效降低了对于新型URL钓鱼袭击的防护压力，增强了邮安防御体系的精准性和灵活性，得到众多单位的广泛点赞与高度认可。

URL容器检测系统助力用户查阅URL类型邮件安全无忧

FangMail构建的URL钓鱼链接防护平台，在容器环境中模拟点击URL钓鱼链接，并自动识别风险邮件的类别与真实意图，阻断钓鱼恶意等行为，从而有效防范新型URL钓鱼邮件造成的重要伤害，让用户放心查收邮件。通过引入AI智能分析和使能技术，可全面分析邮件正文、附件等场景中隐藏的URL链接以及利用图片、按钮、滚动下拉等伪装形式的变态袭击手法，从而精准捕捉那些企图绕过传统防护策略的隐蔽URL钓鱼袭击，确保防护无死角。

面对未来可能出现的更高级别、更难以察觉的钓鱼袭击，FangMail将持续投入研发资源，与全球安全领域的专家、机构和伙伴紧密合作，不断探索和应用更多前沿的安全防护技术。“守卫邮件通信安全”是我们的工作使命，通过不懈的努力与创新，FangMail将持续确保为用户打造更加安全、可信的邮件通信环境，让每一封邮件都传递着信任与安心。