电信日,我们来严肃地谈一谈APT邮件攻击 – 作者:zorelworld

网络安全周.png

国家网络安全宣传周,电信日引人注目

近日,由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、国家广播电视总局等十部门联合举办2018年国家网络安全宣传周正如火如荼进行中。

同期举办的“电信日主题论坛” 围绕行业关键信息基础设施保护、防范打击通讯信息诈骗、网络安全威胁防御等热点议题展台,引人注目。

以基础电信企业为代表的关键信息基础设施单位,历来是APT组织最主要的攻击目标之一,电子邮件是攻击者的首选攻击载体

因此,没有邮件安全,何谈关键信息基础设施保护?

国家网络安全宣传周电信日,让我们一起来关注“APT邮件攻击”。

离不开的邮件,挥之不去的安全隐患

闭上眼睛,试想一下没有邮件的一天。

  • 年度最大的行业会议预计下月举办。没有了电子邮件,市场部怎么与主办方沟通,及时获取后续的议程介绍和邀请函等?

  • 最近人手严重不足。面向社会招聘,没有了电子邮件,人力资源部怎么快捷地获取简历?

  • 商务谈判近半个月,与欧洲某供应商的合作终于接近尾声。没有了电子邮件,后续合同条款磋商、合同签订、合作付款等,怎么开展工作?

毫无疑问,邮件已成为现代日常办公的必需品,因而也成为“攻防必争之地”。

如果攻击者长期关注企业和个人动态,提前收集相关信息,伪装成会议主办方、求职者、合作伙伴等,针对某个目标用户精心制作邮件标题及附件,用户能识别吗?现有邮件安全产品能及时发现并预警吗?

事实证明——并不能

过去,邮件安全问题并未得到足够的重视,也未得到有效的解决。

国际知名安全公司FireEye撰文指出“当前常用的邮件网关可以抵挡大多数传统的垃圾邮件和病毒邮件,但因缺乏自动化分析,面对APT、0day等更高级、更危险的邮件威胁时往往束手无策。应对大量出现的新型威胁时,依赖于反垃圾和反病毒软件,导致检测与响应延迟,为APT攻击者留下可利用的空白区。而对使用TLS发送的勒索邮件和钓鱼邮件,防火墙更是帮不上忙。“

检不出的危险邮件:一起真实的APT邮件攻击

截图1.png睿眼·邮件抓到的某封APT邮件攻击

这是一封典型的鱼叉式钓鱼邮件,但因攻击者耍了点小手段,采用短域名内嵌PDF,逃过了邮件安全网关的检测。如果没有部署睿眼·邮件,这封邮件将悄无声息地进入目标用户的邮箱。

邮件内容“请及时查收订单信息”,当用户下载PDF后,页面会提示“请在线查看PDF”,引导用户在线浏览。用户点击“VIEW PO DOCUMENT FILE”后,才会跳转至钓鱼界面。

图片 2.png

详细分析发现,这个钓鱼URL采用正常的域名,且页面设计非常人性化——先输入用户名再输入密码,同时页面采用延时方式让被害者误以为界面正在验证账户信息。

而通过溯源分析,研究人员发现,该黑客早在2018年5月就已对该集团内其他部门的数名员工发送信息探测邮件,进行信息收集。7月初,黑客锁定攻击目标,对截图中的目标用户发送了十多封钓鱼邮件,包含恶意pdf文件、钓鱼链接、恶意附件压缩包等,但竟无一被邮件网关等发现和告警。

1.png

为什么APT邮件攻击逃不过睿眼·邮件?

APT邮件攻击主要针对政府、大型央企等具备高价值数据的关键信息基础设施单位,集合了多种攻击方式,具有高威胁、持续性、隐匿性等特点。而睿眼-邮件攻击溯源系统是一款专业的邮件安全设备,为应对APT(高级持续性威胁)、BEC(商务电邮诈骗)、ATO(邮箱账号失窃)等高级邮件威胁而生。

针对APT邮件攻击的特点,睿眼-邮件攻击溯源系统提出了以下解决方案:

1,检测邮件头、域名等邮件来源信息。

结合各种信誉库及用户历史数据,建立贴合用户业务的内部黑域名库和黑IP库。同时,联动云端威胁情报共享中心的黑客指纹档案,对可疑邮件进行研判和阻断。

2,快速检测邮件内容。

对APT邮件攻击常见主旨意图、正文html语法特征等进行分析与标准化处理,建立颗粒度非常细的邮件内容检测模型。同时,采用docker进程级微沙箱检测技术,较传统沙箱检测技术更快速、高效地对正文中URL进行提取和检测,防止用户受邮件内容引导而点击恶意URL,访问恶意网站。

3,深度检测邮件附件。

对附件中常见的脚本、Office文档、PDF文档、可执行文件等可能携带的0day漏洞、1day漏洞进行检测。同时,采用加密混淆检测模型、附件内容语义模型,打分制静态分析技术等深入检测邮件附件,防止恶意文件、代码潜入用户网络,进行下一步恶意行为。

4,邮件攻击溯源分析。

内外网威胁情报联动,通过威胁传播路径的定位和回溯,综合提高对APT邮件攻击的检测能力和追查能力,洞察APT组织通过邮件进入企业内网的过程并及时告警。

2.jpg

来源:freebuf.com 2019-05-21 20:29:25 by: zorelworld

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论