电信日,我们来严肃地谈一谈APT邮件攻击

网络安全 0 1316
中睿天下
中睿天下 2018年09月26日

国家网络安全宣传周,电信日引人注目 

近日,由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、国家广播电视总局等十部门联合举办2018年国家网络安全宣传周正如火如荼进行中。 同期举办的“电信日主题论坛” 围绕行业关键信息基础设施保护、防范打击通讯信息诈骗、网络安全威胁防御等热点议题展台,引人注目。 

以基础电信企业为代表的关键信息基础设施单位,历来是APT组织最主要的攻击目标之一,而电子邮件是攻击者的首选攻击载体

 因此,国家网络安全宣传周电信日,让我们一起来关注“APT邮件攻击”。

 

离不开的邮件,挥之不去的安全隐患

 闭上眼睛,试想一下没有邮件的一天。 年度最大的行业会议预计下月举办。

    没有了电子邮件,市场部怎么与主办方沟通,及时获取后续的议程介绍和邀请函等? 最近人手严重不足。

    面向社会招聘,没有了电子邮件,人力资源部怎么快捷地获取简历? 

   商务谈判近半个月,与欧洲某供应商的合作终于接近尾声。没有了电子邮件,后续合同条款磋商、合同签订、合作付款等,怎么开展工作? 

毫无疑问,邮件已成为现代日常办公的必需品,因而也成为“攻防必争之地”。 如果攻击者长期关注企业和个人动态,提前收集相关信息,伪装成会议主办方、求职者、合作伙伴等,针对某个目标用户精心制作邮件标题及附件,用户能识别吗?现有邮件安全产品能及时发现并预警吗?

 事实证明——并不能!

500600746_wx

 过去,邮件安全问题并未得到足够的重视,也未得到有效的解决。 

国际知名安全公司FireEye撰文指出“当前常用的邮件网关可以抵挡大多数传统的垃圾邮件和病毒邮件,但因缺乏自动化分析,面对APT、0day等更高级、更危险的邮件威胁时往往束手无策。应对大量出现的新型威胁时,依赖于反垃圾和反病毒软件,导致检测与响应延迟,为APT攻击者留下可利用的空白区。而对使用TLS发送的勒索邮件和钓鱼邮件,防火墙更是帮不上忙。“ 


检不出的危险邮件:一起真实的APT邮件攻击 

截图1

睿眼·邮件抓到的某封APT邮件攻击

 这是一封典型的鱼叉式钓鱼邮件,但因攻击者耍了点小手段,采用短域名内嵌PDF,逃过了邮件安全网关的检测。如果没有部署睿眼·邮件,这封邮件将悄无声息地进入目标用户的邮箱。

 邮件内容“请及时查收订单信息”,当用户下载PDF后,页面会提示“请在线查看PDF”,引导用户在线浏览。用户点击“VIEW PO DOCUMENT FILE”后,才会跳转至钓鱼界面。

1

 详细分析发现,这个钓鱼URL采用正常的域名,且页面设计非常人性化——先输入用户名再输入密码,同时页面采用延时方式让被害者误以为界面正在验证账户信息。

 而通过溯源分析,研究人员发现,该黑客早在2018年5月就已对该集团内其他部门的数名员工发送信息探测邮件,进行信息收集。7月初,黑客锁定攻击目标,对截图中的目标用户发送了十多封钓鱼邮件,包含恶意pdf文件、钓鱼链接、恶意附件压缩包等,但竟无一被邮件网关等发现和告警。 

图片 2


为什么APT邮件攻击逃不过睿眼·邮件? 

APT邮件攻击主要针对政府、大型央企等具备高价值数据的关键信息基础设施单位,集合了多种攻击方式,具有高威胁、持续性、隐匿性等特点。而睿眼-邮件攻击溯源系统是一款专业的邮件安全设备,为应对APT(高级持续性威胁)、BEC(商务电邮诈骗)、ATO(邮箱账号失窃)等高级邮件威胁而生。 

500438252_wx

针对APT邮件攻击的特点,睿眼-邮件攻击溯源系统提出了以下解决方案:

 1,检测邮件头、域名等邮件来源信息。 结合各种信誉库及用户历史数据,建立贴合用户业务的内部黑域名库和黑IP库。同时,联动云端威胁情报共享中心的黑客指纹档案,对可疑邮件进行研判和阻断。

 2,快速检测邮件内容。 对APT邮件攻击常见主旨意图、正文html语法特征等进行分析与标准化处理,建立颗粒度非常细的邮件内容检测模型。同时,采用docker进程级微沙箱检测技术,较传统沙箱检测技术更快速、高效地对正文中URL进行提取和检测,防止用户受邮件内容引导而点击恶意URL,访问恶意网站。

 3,深度检测邮件附件。 对附件中常见的脚本、Office文档、PDF文档、可执行文件等可能携带的0day漏洞、1day漏洞进行检测。同时,采用加密混淆检测模型、附件内容语义模型,打分制静态分析技术等深入检测邮件附件,防止恶意文件、代码潜入用户网络,进行下一步恶意行为。

 4,邮件攻击溯源分析。 内外网威胁情报联动,通过威胁传播路径的定位和回溯,综合提高对APT邮件攻击的检测能力和追查能力,洞察APT组织通过邮件进入企业内网的过程并及时告警。

睿眼·邮件



作者信息

中睿天下

中睿天下是一家汇全球之智、明安全之道的安全网络公司。从攻击者的视角获取对抗未知威胁的洞察力,中睿天下为用户的安全团队赋能,追踪溯源、深入洞察每次攻击的详细过程,实现有效的「精准防护」。

最近文章
智慧能源 网安先行——能源行业信息安全解决方案 425
FireEye:91%的网络攻击将电子邮件作为攻击入口 1241
为高难度实网攻击演习护航以后…… 1040

热门作者

微信扫码关注 指尖安全 公众号

指尖安全