国家网络安全宣传周,电信日引人注目
近日,由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、国家广播电视总局等十部门联合举办2018年国家网络安全宣传周正如火如荼进行中。
同期举办的“电信日主题论坛” 围绕行业关键信息基础设施保护、防范打击通讯信息诈骗、网络安全威胁防御等热点议题展台,引人注目。
以基础电信企业为代表的关键信息基础设施单位,历来是APT组织最主要的攻击目标之一,而电子邮件是攻击者的首选攻击载体。
因此,没有邮件安全,何谈关键信息基础设施保护?
国家网络安全宣传周电信日,让我们一起来关注“APT邮件攻击”。
离不开的邮件,挥之不去的安全隐患
闭上眼睛,试想一下没有邮件的一天。
-
年度最大的行业会议预计下月举办。没有了电子邮件,市场部怎么与主办方沟通,及时获取后续的议程介绍和邀请函等?
-
最近人手严重不足。面向社会招聘,没有了电子邮件,人力资源部怎么快捷地获取简历?
-
商务谈判近半个月,与欧洲某供应商的合作终于接近尾声。没有了电子邮件,后续合同条款磋商、合同签订、合作付款等,怎么开展工作?
毫无疑问,邮件已成为现代日常办公的必需品,因而也成为“攻防必争之地”。
如果攻击者长期关注企业和个人动态,提前收集相关信息,伪装成会议主办方、求职者、合作伙伴等,针对某个目标用户精心制作邮件标题及附件,用户能识别吗?现有邮件安全产品能及时发现并预警吗?
事实证明——并不能!
过去,邮件安全问题并未得到足够的重视,也未得到有效的解决。
国际知名安全公司FireEye撰文指出“当前常用的邮件网关可以抵挡大多数传统的垃圾邮件和病毒邮件,但因缺乏自动化分析,面对APT、0day等更高级、更危险的邮件威胁时往往束手无策。应对大量出现的新型威胁时,依赖于反垃圾和反病毒软件,导致检测与响应延迟,为APT攻击者留下可利用的空白区。而对使用TLS发送的勒索邮件和钓鱼邮件,防火墙更是帮不上忙。“
检不出的危险邮件:一起真实的APT邮件攻击
睿眼·邮件抓到的某封APT邮件攻击
这是一封典型的鱼叉式钓鱼邮件,但因攻击者耍了点小手段,采用短域名内嵌PDF,逃过了邮件安全网关的检测。如果没有部署睿眼·邮件,这封邮件将悄无声息地进入目标用户的邮箱。
邮件内容“请及时查收订单信息”,当用户下载PDF后,页面会提示“请在线查看PDF”,引导用户在线浏览。用户点击“VIEW PO DOCUMENT FILE”后,才会跳转至钓鱼界面。
详细分析发现,这个钓鱼URL采用正常的域名,且页面设计非常人性化——先输入用户名再输入密码,同时页面采用延时方式让被害者误以为界面正在验证账户信息。
而通过溯源分析,研究人员发现,该黑客早在2018年5月就已对该集团内其他部门的数名员工发送信息探测邮件,进行信息收集。7月初,黑客锁定攻击目标,对截图中的目标用户发送了十多封钓鱼邮件,包含恶意pdf文件、钓鱼链接、恶意附件压缩包等,但竟无一被邮件网关等发现和告警。
为什么APT邮件攻击逃不过睿眼·邮件?
APT邮件攻击主要针对政府、大型央企等具备高价值数据的关键信息基础设施单位,集合了多种攻击方式,具有高威胁、持续性、隐匿性等特点。而睿眼-邮件攻击溯源系统是一款专业的邮件安全设备,为应对APT(高级持续性威胁)、BEC(商务电邮诈骗)、ATO(邮箱账号失窃)等高级邮件威胁而生。
针对APT邮件攻击的特点,睿眼-邮件攻击溯源系统提出了以下解决方案:
1,检测邮件头、域名等邮件来源信息。
结合各种信誉库及用户历史数据,建立贴合用户业务的内部黑域名库和黑IP库。同时,联动云端威胁情报共享中心的黑客指纹档案,对可疑邮件进行研判和阻断。
2,快速检测邮件内容。
对APT邮件攻击常见主旨意图、正文html语法特征等进行分析与标准化处理,建立颗粒度非常细的邮件内容检测模型。同时,采用docker进程级微沙箱检测技术,较传统沙箱检测技术更快速、高效地对正文中URL进行提取和检测,防止用户受邮件内容引导而点击恶意URL,访问恶意网站。
3,深度检测邮件附件。
对附件中常见的脚本、Office文档、PDF文档、可执行文件等可能携带的0day漏洞、1day漏洞进行检测。同时,采用加密混淆检测模型、附件内容语义模型,打分制静态分析技术等深入检测邮件附件,防止恶意文件、代码潜入用户网络,进行下一步恶意行为。
4,邮件攻击溯源分析。
内外网威胁情报联动,通过威胁传播路径的定位和回溯,综合提高对APT邮件攻击的检测能力和追查能力,洞察APT组织通过邮件进入企业内网的过程并及时告警。
来源:freebuf.com 2019-05-21 20:29:25 by: zorelworld
请登录后发表评论
注册