随着网络攻击技术的不断演进,传统针对附件或图片的恶意邮件检测手段已难以应对新型“无图”攻击策略。据科技媒体Internet Storm Center(ISC)2026年1月发布的报告显示,一种新型钓鱼邮件攻击手法近期在国际安全社区引发广泛关注:攻击者摒弃了传统的图片嵌入方式,转而利用纯HTML表格结构“绘制”出视觉上高度仿真的二维码图像。这种手法成功绕过了主流邮件安全网关对二维码内容的扫描与分析,构成了严峻的安全威胁。
该攻击手法最早可追溯至2025年12月下旬,多名安全研究人员在同一时间段内捕获了源自相似模板的钓鱼邮件样本。攻击者利用HTML元素动态构建二维码及高危图文内容,标志着其攻击手段正从传统的“带图附链”向“无图构造”演进。此类攻击不依赖任何图片文件,而是通过HTML代码“画”出类汉字指令或二维码,有效规避了图像识别与沙箱检测。本文旨在剖析此类恶意邮件背后的HTML结构特征、行为模拟机制及URL容器检测系统的应对策略,以期为组织级邮件安全防护提供技术参考。
一、“代码绘图”:绕过检测的新型伪装
正如公共互联网反钓鱼工作组早期资讯所述,传统二维码由黑白模块按特定规则排列组成,用于编码URL、文本等数据。在常规钓鱼邮件中,攻击者通常将二维码以PNG或JPG图片形式嵌入,诱导用户扫码跳转至恶意网站。然而,现代邮件安全系统(如Microsoft Defender for Office 365、Google Workspace安全模块等)已具备对附件及内嵌图片进行光学字符识别(OCR)或图像解析的能力,一旦识别出可疑链接,系统将自动拦截或标记为高风险。
为突破此类防御,攻击者采用了“无图”策略:利用HTML的<table>元素,通过精确设置每个<td>单元格的背景色(如bgcolor="#000000"表示黑色,bgcolor="#FFFFFF"表示白色),逐行逐列构建出与标准二维码视觉一致的矩阵(攻击样本详细技术分析可参照:公共互联网反网络钓鱼. 钓鱼邮件新变种:利用HTML表格伪造二维码绕过安全检测)。尽管该方式生成的二维码分辨率较低且略显扁平,但在移动设备屏幕上仍足以被微信、支付宝及主流相机App等扫码工具成功识别。
更值得警惕的是,这些HTML二维码所指向的URL并非静态地址,而是高度定制化的动态链接。根据ISC分析,所有样本均指向同一恶意域名lidoustoo[.]click的子域,其完整URL结构如下:
hxxps://<target_domain><random_hex_or_dec>[.]lidoustoo[.]click/<alphanumeric_path>/$<recipient_email>
例如,若收件人邮箱为user@company.com,生成的链接可能形如:
https://companycomA3F9.lidoustoo.click/xK7m2n/$user@company.com
这种设计具有三重战术目的:
1. 规避URL黑名单:每次发送均生成唯一的子域名和路径,致使基于域名或路径的静态黑名单机制失效;
2. 增强社会工程学可信度:URL中嵌入收件人所属组织的域名(如companycom),制造“内部系统”假象,降低用户警惕;
3. 追踪受害者行为:通过$<email>参数,攻击者可精确记录哪些邮箱地址已被点击,便于后续实施精准钓鱼或数据变现。
二、隐写术升级:从二维码到“类汉字”绘图
除二维码外,部分样本邮件中还出现了看似正常的“汉字”提示(如“验证码”、“开票服务”等)。乍看之下,这似乎是普通的垃圾邮件内容,但深入分析其源码可知,这些“汉字”并非标准字符,而是一段精心构造的HTML代码。
攻击者同样利用<table>或<div>元素,通过设置单元格的背景色、边距(margin-left)、宽度、高度及浮动方式,逐行逐列地“拼”出类似汉字的视觉效果。这种“HTML点阵绘图”或“无图隐写”手法的核心目的在于:
1. 绕过关键词过滤系统:内容非标准文本,无法被正则表达式匹配;
2. 逃避NLP语义分析:缺乏自然语言的语法结构,机器学习模型难以识别其语义;
3.规避图像识别检测:邮件中不存在实际图片文件,传统OCR技术无从下手;
4. 伪装成正常邮件内容:在客户端渲染后呈现为直观的文字或图形,极具迷惑性。
三、防御困境:为何传统网关难以招架?
传统邮件网关的安全机制主要依赖以下维度:
1. 检测附件是否携带病毒或恶意文件;
2. 扫描分析邮件正文中的风险关键词;
3. 使用OCR识别图片及关联内容;
4. 比对链接是否在已知黑名单中。
然而,面对“HTML绘图”攻击,上述防线全面失效:
1. 关键词过滤失效:恶意内容以代码形式存在,无明文关键词;
2. NLP分析失效:代码逻辑不具备自然语言特征;
3. 图像识别失效:无图片文件可供扫描;
4. 附件扫描失效:攻击载荷完全嵌入HTML正文,无独立附件。
此类恶意邮件聚焦于在HTML正文中嵌入精心构造的代码片段。例如,配合数以千计的<td bgcolor>标签形成黑白点阵模拟二维码,或利用大量<div>元素生成图形化文字。收件人打开邮件后,客户端渲染该表格呈现出可扫描的二维码或可读文字,指向钓鱼网站、木马下载地址或诈骗页面。由于其极强的隐蔽性、低检测率和高成功率,该手法已成为当前APT攻击与精准钓鱼的重要组成部分。
四、精准检测:行为级还原与多维联动防护
作为邮件安全领域的专业厂商,方向标(FangMail)基于自研技术构建的安全隔离渲染环境,能够对此类逃逸式恶意邮件进行动态解析与可视化还原。针对“HTML绘图”攻击,FangMail邮件安全网关及URL容器检测系统执行以下检测流程:
1. 特征提取:自动检测邮件中是否包含大量CSS样式代码(如极小像素值的颜色定义),并提取<table>、<div>等可能用于绘图的结构标签。此类结构常用于隐藏链接、像素追踪或混淆代码。
2. 动态渲染:模拟真实客户端渲染流程,将HTML代码转换为视觉图像快照。
3. 图像识别:运用计算机视觉算法对快照进行二维码特征检测,并对疑似二维码进行扫码解析,判定目标链接安全性。
4. 多维分析:同步进行颜色分布、网格密度、结构相似度等多维度分析,精准识别“类汉字”、“类二维码”等异常图形。
此过程实现了从“代码逻辑”到“视觉输出”的跨越,有效破解了“无图”伪装。经FangMail综合检测系统验证,该类“类汉字绘图”邮件可被自动识别并成功拦截。
此外,FangMail还提供多维联动的防护机制:
1. HTML语义分析引擎:深度识别异常嵌套、超高密度<td>使用、极小单元格等“绘图特征”,挖掘背后隐藏的恶意链接。
2. 直观阻断危险动作:自动拦截自动下载、数据窃取、盗号、浏览器0day攻击、加密附件及中文短网址等隐秘URL钓鱼行为。
3. 实时情报联动:每日洞察最前沿高威胁邮件大数据及行为特征,持续进化拦截规则库。
4. 事后隔离保护:针对复杂恶意邮件可能发生的逃逸现象,提供全天候的事后隔离远程浏览保护。即使用户点击钓鱼链接,终端也不与互联网直接交互,确保高价值目标免受侵害。
五、应对建议:构建纵深防御体系
面对日益智能化的攻击手段,仅靠基础过滤已不足以保障企业信息安全。建议采取以下措施升级防护体系:
1. 部署具备HTML行为分析能力的综合解决方案:引入能主动识别“代码绘图”、“动态渲染”等高级威胁的邮件安全系统,弥补传统网关盲区。
2. 加强员工安全意识培训:教育员工识别异常邮件特征,特别是涉及“开票”、“退税”、“报销”等敏感业务的请求,强调“不扫描来源不明二维码”的原则。
3. 启用多层防御策略:构建“事前智能防护+事中URL容器检测+事后远程浏览器隔离”的全链路防御体系。
4. 定期开展钓鱼演练:通过模拟真实攻击场景测试员工响应能力,及时发现漏洞并优化安全策略。
结语
当攻击者不再用文字说话,而是用代码“画”出谎言时,传统的安全防线显得尤为脆弱。FangMail以智能邮件安全网关及URL容器检测系统为核心,构建了从“代码逻辑”到“视觉输出”的全链路防护能力,真正实现了对“无图攻击”的主动发现、智能识别与精准拦截。
看不见的攻击,更需看得见的防护。别让一封“画”出来的邮件,毁掉整个企业的信息安全基石。
作者:北京方向标信息科技有限公司(公共互联网反网络钓鱼工作组成员单位)
编辑:芦笛(公共互联网反网络钓鱼工作组)
