黑基网 首页 资讯 安全圈 查看内容

邮件系统风险分析与预警技术研究

2017-10-9 10:19| 投稿: lofor |原作者: 王辉|来自: 互联网

摘要: 1. 邮件系统发展随着互联网的迅速发展和普及,电子邮件已经成为整个互联网行业的重要组成部分。据不完全统计,Internet上每天传送的电子邮件达数十亿份。特别是有关日常信息沟通、企业商务信息交流、政府网上公文流 ...

1. 邮件系统发展

随着互联网的迅速发展和普及,电子邮件已经成为整个互联网行业的重要组成部分。据不完全统计,Internet上每天传送的电子邮件达数十亿份。特别是有关日常信息沟通、企业商务信息交流、政府网上公文流转等商务活动和管理决策的信息传递,已经成为企业信息化和电子政务的基础。

电子邮件传递与其他网络使用方式有着根本区别,它不是一种“端到端”的

服务,而是一种“存储转发式”的服务。这是电子邮件系统的核心,利用存储转发可进行非实时通信,属异步通信方式。邮件系统通常保存着个人、企业及政府部门的大量敏感信息。

随着互联网技术的发展,电子邮件系统日趋“开放化”,邮件服务器通常部署在开放区域,再加上WebMail的使用频率大大增加,基于电子邮件传输文件、图像的方式也越来越普遍,给人们的工作和生活提供了极大的便利。

2. 安全风险分析

然而,电子邮件带来便利的同时,不安全的因素也越来越多,电子邮件系统面临着越来越多的信息欺骗、机密泄露、病毒入侵等各种各样的安全风险:

  • 首先,基于电子邮件的的信息欺骗行为不断增加,攻击者通常会利用邮件钓鱼、伪造邮件头、发件人等信息的方式,通过社会工程学的方式发起攻击;

  • 其次,基于WebMail的漏洞攻击成为邮箱攻击的最常用手段,大量的邮箱跨站、SQL注入、邮箱挂马等漏洞往往成为攻击者的目标,一旦攻击成功,整个邮件系统权限将受到威胁;

  • 另外,基于邮件附件传输恶意文件的行为是邮件系统最严重的风险,携带病毒、蠕虫、木马等恶意文件的邮件一旦通过邮件系统传输到内网,后果不堪设想。

随着黑客技术的发展,邮件系统渐渐成为APT攻击惯于利用的攻击入口,攻击者通过各种更为先进的攻击方式,向邮件系统发起攻击,然后再以邮件服务器为跳板向内网渗透,给邮件系统和内网安全带来了巨大的风险,但目前还没有一个非常好的技术能完全检测这些攻击。

3. 安全建设思路

鉴于邮件系统的重要性,以及存在的安全风险和可能受到的APT攻击行为,我们需要对整体邮件系统的所有流量进行有效监控和深度分析,第一时间发现威胁行为并作出预警,最大程度降低可能遭受的危害。

多层次、全维度的风险检测技术是针对邮件系统风险的最佳解决思路,通过对邮件系统流量进行全维度的深度解析,发现所有的WebMail行为、邮件头信息、邮件内容信息及邮件附件内容,再利用WebMail攻击检测技术、异常访问检测技术、社工行为检测技术、恶意文件分析技术、动态行为分析技术和云端高级分析技术实现多层次的攻击行为分析,有效检测所有已知和未知的邮件系统风险,并及时做出预警,将风险的危害降低到最小。

3.1.   WebMail攻击检测

基于WebMail的攻击通常包括通用漏洞利用、异常访问和未知漏洞利用,所以针对WebMail的攻击检测机制我们主要通过WebMail通用漏洞攻击检测、异常访问攻击检测和关联动态分析,实现WebMail的全方位攻击检测。

3.1.1. 通用漏洞攻击检测

WebMail通用漏洞通常包括:跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入、命令注入等攻击,针对这些攻击常见检测方式就是特征匹配,检测不够全面,所以在检测基于通用漏洞攻击时不能仅仅依靠特征库。

静态脚本解析技术也是针对WebMail通用漏洞检测非常有效的机制,我们通过对邮件头的结构的分析,分离smtp协议中 html部分代码,并解析html的dom对象,对关键的触发节点进行分析,并将代码执行的结果进行静态分析,非法植入到Header、Form 和URL中的脚本将被发现,以此来定位和分析是否存在利用WebMail通用漏洞发起的攻击行为。

3.1.2. 异常访问检测技术

针对基于HTTP的邮件报文,利用多种解码技术,深入分析协议报文中的Web地址、请求头、协议类型、URL格式及Cookies等信息,通过对所有报文头和内容进行合规性检测,发现各种非法的畸形数据包报文。

针对邮箱的异常访问检测还可以通过对邮箱账户、密码、访问频度等各个维度进行分析,定位恶意攻击者。通过自学习的方式建立一个邮箱地址和访问IP的关联库,当出现异常IP访问后,就发送告警信息通过自学习方式建立在正常情况下的访问频度记录、密码错误率记录。当出现超过自学习生成的阀值后,即认为出现恶意攻击。。

3.1.3. 关联动态分析技术

通过对所WebMail行为进行持续跟踪,从源IP、目的IP、时间等多个纬度分析一段时间内的多个web动作,针对所有动作进行关联分析,对动态分析结果进行模型化处理,发现各种隐蔽的、未知的攻击行为,确保全面的发现WebMail层面的邮件攻击行为。

3.2.   邮件社工行为检测

发件人欺骗、邮件头欺骗、邮件钓鱼等基于社会工程学的攻击也是邮件系统最常见的攻击方式。

3.2.1. 发件人欺骗分析技术

邮件社工行为攻击通常会利用伪造发件人信息,来获取被攻击者的信任,欺骗用户点击指定的链接或者文件,一旦用户点击那么将出现被植入木马的情况。针对发件人欺骗的行为进行分析,发现伪造发件人必须通过伪造邮件服务器的方式实现,我们可以通过绑定邮件服务器IP地址,对于所有绑定IP地址的邮件服务器进行判断,以此发现发件人欺骗的攻击行为。

3.2.2. 邮件头欺骗分析技术

邮件头通常包含了邮件在传递过程中的所有信息,包括原始发件人、SMTP服务器、POP3服务器等信息,一旦攻击者通过修改邮件头方式进行欺骗行为,那么邮件头信息中的原始发件人将出现和Mail From字段发件人信息不一致的情况,我们通过对邮件头信息的有效检测、分析和判断发现邮件头欺骗的攻击行为。

3.2.3. 邮件钓鱼分析技术

邮件钓鱼是邮件攻击的最普遍的攻击方式,这种方式非常易于发起攻击,但是一旦受到攻击将出现非常严重的后果。对于邮件钓鱼行为,可以通过对所有邮件传输过程中携带的URL链接进行分析,并对URL链接进行模拟点击操作,分析打开URL过程中传回的数据,发现各种邮件钓鱼的恶意行为。

3.3.   恶意附件攻击检测

邮件附件通常是攻击者利用恶意文件发起攻击常用的方式,恶意的邮件附件通常包含病毒、木马、蠕虫等等,危害非常严重。

3.3.1. 静态检测技术

针对基于邮件附件的恶意文件攻击行为,首先需要通过全面的特征库进行快速判断,但仅仅只是通过文件MD5值判断存在较多的误判,我们在特征检测中引入了静态检测技术,对于含有二进制代码的shellcode文件进行模拟执行,判断执行结果对于系统造成的影响,通过对行为的分析发现各种0day攻击。

3.3.2. 动态沙箱技术

动态沙箱检测技术是目前对各种隐蔽恶意文件分析最好的机制,由于完全模拟用户实际操作系统环境,可以深入发现文件在运行过程中所有对系统进行的操作,但是仅仅通过对系统造成影响来判断往往存在较多误报,我们同时采用的加权值的分析技术,对于不同影响系统的行为分别进行不同级别的赋值,以最终加权计算的分值来判断是否存在恶意文件,极大的降低了误报。

    

3.4.   云端高级分析技术

基于WebMail的攻击方式发展非常迅速,各种未知的攻击方式也不断出现,针对不断变化的攻击方式,我们可以通过接入云端,借助云端平台进行分析。云端采用集群化管理,并通过自动模拟的方式进行高级分析。在一些高级环境中,可通过专业工程师进行分析,获得更精确的结果。并将这些结果转化为检测规则,及时应对最新的各种攻击方式。

本文作者 :王辉 安全攻防技术专家,擅长网络攻防技术研究,具备多年攻击追逐溯源经验。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部