利用邮件溯源技术,防守方才可跳出单封邮件检测的思路,宏观感知企业遭受的邮件攻击态势,将单封恶意邮件的对抗升级为邮件攻击事件的对抗,真正将自身的防御水平拉到可以和高端攻击者对抗的层次。
现有的邮件安全防护技术已经可以实现对绝大多数恶意邮件的检测。然而从企业安全运营的角度来看,企业面临的邮件威胁不仅是一封封点状的威胁邮件,而是一系列由不同内容、不同目的的威胁邮件有机组合形成的一连串邮件攻击事件。因此,基于单封邮件威胁检测的防护技术既无法完整地反映攻击者的邮件攻击路径,更不能宏观感知企业遭受的邮件安全威胁态势。
以一起实际的邮件攻击行动为例,来帮助我们更好地理解邮件威胁不是点状的威胁邮件,而是一连串威胁邮件组合的事件。其中,某攻击团队A企图以邮件作为攻击切入点,控制“K企业”数据运维人员电脑,进而窃取“K企业”的核心数据库,以下为其攻击的全过程:
第一步:获取帐号权限
1. 通过爆破获取少量邮件账号权限:通过互联网、社工库批量获取k企业员工的邮件账号,并利用社工库获取的密码,使用分布式肉鸡进行批量账号爆破,获取部分员工的邮件权限。
2. 发送密码钓鱼邮件获取账号权限:向通过互联网、社工库等批量获取到的k企业员工邮件账号批量发送密码钓鱼邮件,获取一部分邮件账号密码。
第二步:分析邮件数据进一步锁定目标
登录通过爆破和密码钓鱼等方式获取的受控邮箱,获取通讯录,分析通讯录部门、职位,定位到数据库管理员。
第三步:发送信息探测邮件
向锁定的目标管理员发送信息探测邮件,探测其办公环境基础情况,包括浏览器版本、安装软件列表、杀软类型等基本信息,为下一步精准打击做准备。
第四步:邮件精准投递木马
向锁定的目标管理员精准投递钓鱼木马邮件,例如伪造某数据库论坛的会议邀请函,利用office漏洞让数据库管理员电脑中木马后上线。后续再进一步分析木马上线后的管理员办公PC,分析其连接数据库的通道,获取数据库权限,完成目标打击。
下面,我们再对比A攻击团队的攻击手段与K企业现有的邮件安防体系,来看邮件攻防对抗的情况。
K企业已部署当前业界广泛采用的三种邮件安防手段:
邮件安防三大主流手段 | |
防护手段 | 防护目的 |
邮件网关 | 利用关键字、黑白信誉机制过滤垃圾邮件实现反垃圾,利用内置病毒引擎查杀恶意邮件附件实现反病毒。 |
APT网关 | 利用APT设备的沙箱机制,对附件威胁进行行为分析,检测发现附件的可疑行为。 |
邮件DLP | 解决邮件泄密问题。 |
但在对抗过程中,K企业的邮件安全防线仍然被突破,详情如下:
A团队
攻击步骤 |
A团队
攻击手段 |
K企业
邮件安防手段防护现状 |
爆破获取少量邮件账号权限 | 邮件账号爆破 | 目前主要采用手工分析邮件日志的方式来发现邮件账号爆破,发现几率低,针对分布式肉鸡爆破的发现几率更低。 |
发送钓鱼邮件获取账号权限 | 密码钓鱼邮件 | 密码钓鱼邮件无附件,甚至无url,完全依赖对正文内容的感知,发现难度极大。 |
发送信息探测邮件 | 信息探测邮件 | 信息探测代码,发现难度大。 |
邮件精准投递木马 | Office木马邮件 | 能否主动发现Office木马邮件,取决于攻击者免杀和漏洞利用技术的高低。 |
通过将A攻击团队的攻击流程与当前企业广泛采用的邮件防护技术进行对比,很容易得出一个悲观的结论:意图依靠当前广泛采用的传统邮件安全防护技术,实现对所有攻击过程的捕获,并完整还原攻击者的攻击过程,可能性基本为零。
绝大多数防守方所认为的“邮件网关+邮件DLP+APT”产品组合拳足以应对现有的邮件攻击手段,这从攻击者角度来看,无疑是天方夜谭。包括APT设备在内的传统安全产品解决的依然是广泛撒网式攻击的检测以及中低端定点攻击的检测,对于高级定点精准打击式攻击的捕获能力严重不足。即使攻击者在实施攻击过程中产生了重大的技术疏露,被捕获到局部的某一攻击动作,但因捕获的单封威胁邮件无法反映攻击者的整体邮件攻击态势,从而无法让企业警觉,提高威胁预警级别,进而无法从全局角度集中优势资源对攻击进行全面歼灭,最后反而被攻击者搞定。
以下提出一种全新思路,利用邮件溯源技术对攻击过程进行全面追溯,即从海量威胁邮件中发现一到多个威胁锚点后,从威胁锚点反向关联攻击者,从而还原出攻击者发起的一系列邮件攻击动作,从全局角度宏观反映整体的邮件攻击态势,提升防守方的邮件威胁态势感知能力。
其中涉及的一种典型反向溯源方法如下,通过提取并分析特定周期内的邮件攻击元素,例如发件IP、发件人账号、发件主题、正文内容、URL链接、附件hash,并利用多个攻击元素进行“或关系”组合,以攻击者发送的所有邮件(包含威胁邮件和非威胁邮件)及产生的邮件行为信息为基础进行还原和画像,可以组合还原出完整的邮件攻击路径,得出以下结论:
攻击团队A在为期5天的时间内,使用A-IP、B-IP作为攻击源,通过全球A-SMTP(美国)服务器、B-SMTP(加拿大)服务器控制全球共计50个发件邮箱,向我方300个员工发起定向攻击,其中4个员工(张三、李四、王五、赵六)产生了点击行为。攻击团队A使用的攻击手段包括密码钓鱼、信息探测、office木马,攻击持续时间5天,涉及不同邮件主题3个(包括A主题、B主题、C主题),涉及不同邮件附件4个(涉及A附件、B附件、C附件)。
利用邮件溯源技术,防守方才可跳出单封邮件检测的思路,宏观感知企业遭受的邮件攻击态势,将单封恶意邮件的对抗升级为邮件攻击事件的对抗,真正将自身的防御水平拉到可以和高端攻击者对抗的层次。
后记
“兵者,诡道也”。在所有攻防手段中,邮件攻防涉及计算机学、心理学、语言学等多方面内容,最能反映“网络安全是人与人之间的对抗”这一本质。如此既灵活又复杂的对抗,也决定其在攻防两个层面都需要不断博弈和成长。未来,我们将继续重点关注邮件账号长期受控、无感邮件信息探测、交互式引导邮件、行业性邮件威胁情报、冒充发件人等场景,并根据特定的邮件攻击场景推导防护场景,敬请关注。