“海蓮花”利用釣魚郵件發起針對性攻擊,如何通過郵件過濾機制對抗入侵?
責編:gltian |2019-06-24 16:18:21近期,境外APT攻擊組織 “海蓮花(OceanLotus)” 持續利用網易的免費郵箱對我國政府機關與重要行業領域進行有組織、有計劃、有針對性的長時間不間斷攻擊。黑客主要利用【2019年5月標準干部培訓課程通知】這類極具迷惑性的內容作為郵件主題和附件,向攻擊目標發送魚叉式釣魚郵件。只要郵件接收者打開附件,主機將被攻擊者完全掌控!
根據守內安與ASRC垃圾信息研究中心 (Asia Spam-message Research Center) 的觀察,海蓮花的攻擊前奏主要通過發送帶有可觸發 CVE-2017-11882 方程式漏洞的惡意文檔來發動,一旦文檔被開啟,不需要用戶再配合執行其他動作,漏洞便會觸發執行惡意程序,攻擊者便可取得受感染電腦的控制權,借以發動其他惡意攻擊。守內安 SPAM SQR 郵件安全網關搭配 ADM ( Advanced Defense Module ) 高級防御模塊,已可攔截利用CVE-2017-11882 方程式漏洞的文檔攻擊。
不僅“海蓮花”這類 APT 攻擊事件,其他讓企業損失慘重的信息安全事件,例如 BEC金融詐騙、勒索軟件等,也都是由一封釣魚郵件開始,黑客通過高度偽裝的釣魚郵件,搭配社交工程手法對目標發動攻擊。這類釣魚郵件極具迷惑性且手法高超,讓人難以用肉眼分辨,光是靠教育用戶小心謹慎防范釣魚郵件是絕對不夠的,尤其是對于沒有IT背景、沒有程序技術的用戶而言,要他們對所有收到的郵件或信息都保持高度謹慎的態度來檢驗,不僅不切實際,弄得人心惶惶,還可能產生不少困擾與問題。企業應設法提供用戶安全的郵件使用環境,只要能夠做好電子郵件安全防御,信息安全防護工作便做好了一大半。
為了協助企業打造更安全的電子郵件環境,守內安SPAM SQR 郵件安全網關以多層過濾機制對抗新型態攻擊入侵,提供企業全方位郵件過濾機制,不僅可以攔截垃圾郵件,亦能防御各式釣魚與惡意威脅郵件。
SPAM SQR 針對新型態攻擊郵件的防護有下列特色:
- 惡意滲透分析,郵件及附件惡意鏈接全防御
通過云端差分更新技術,快速更新惡意網址數據庫。且可針對郵件內容及附件內容進行掃描,更全面防御釣魚等惡意郵件。
- 置換可疑鏈接,避免用戶好奇或誤點擊風險
將可疑郵件的鏈接置換掉,避免用戶在查看攔截郵件時,因為好奇點擊或操作時誤點擊惡意鏈接,導致被植入木馬或下載惡意文檔的風險。
- 防御詐騙郵件,內發示警外發防偽
智能型詐騙郵件行為特征檢測,可針對匯款詐騙、冒名偽造網域的社交郵件防御等做到郵件警示,當郵件放行到用戶端時,可提醒用戶提高警惕。此機制不會因為白名單設定不正確而影響判斷結果,管理員只需要倡導收到類似郵件警示,需做確認,即可降低詐騙郵件入侵的風險。待發郵件則可約定往來郵件的驗證機制,如 SPF, DKIM, DMARC,降低被偽造冒名的機會。
圖1:匯款詐騙、冒名偽造網域等郵件設定郵件警示
- 威脅統計報表與社交工程防御機制,指出內部高風險族群
一般用戶信息安全意識較薄弱的情況下,很容易因為好奇而打開來路不明的郵件。通過SPAM SQR 社交工程防御機制與統計報表,從日常往來郵件,管理員便可了解內部用戶的信息安全意識強弱,指出哪些人為高風險族群,作為企業信息安全教育的依據。
而威脅統計報表,結合各種威脅指標信息匯總于單一報表之中,方便管理員了解內部賬號的風險情況,如SMTP IP認證異常、APT攻擊目標以及亂發郵件等異常情況皆可在報表中顯示。
圖2 :威脅統計報表 -威脅指標信息匯總于單一報表中,方便了解內部賬號的風險情況
威脅指標排行 -列為高風險族群,企業可將這類族群列入內部安全防護強化重點人員。
- 靜態特征聯合動態沙盒分析,抵御已知與未知威脅
SPAM SQR 的多層次過濾技術,結合了防毒特征碼、惡意網址數據庫、行為仿真防御、深層程序代碼靜態特征掃描及動態沙盒等分析。可先行分類垃圾郵件及可疑威脅郵件,再將特定格式附件拆離傳送至沙盒進行比對,于虛擬平臺進行程序分析。通過深度仿真和沙盒分析,將信息揭露并回傳統一整合于 SPAM SQR,風險一目了然且更易于追蹤管理。
關于守內安 SPAM SQR與ADM 高級防御模塊
SPAM SQR 內建多種引擎(惡意檔案分析引擎、威脅感知引擎、智能詐騙引擎)、惡意網址數據庫,并可整合防毒與動態沙盒等機制,以多層式的運行過濾方式,對抗惡意威脅郵件的入侵。
SPAM SQR ADM ( Advanced Defense Module ) 高級防御模塊,可防御魚叉式攻擊、APT 等新型進階攻擊手法郵件。研究團隊經長時間的追蹤黑客攻擊行為,仿真產出靜態特征。程序自動解封裝檔案進行掃描,可發掘潛在代碼、隱藏的邏輯路徑及反組譯程序代碼,以利進行進階惡意軟件分析比對。可提高攔截夾帶零時差 (Zero-day) 惡意軟件、APT 攻擊工具及含有文件漏洞的攻擊附件等攻擊手法郵件的能力。
關于守內安
守內安信息科技(上海)有限公司(以下簡稱 “守內安”),是上海市政府及國家獎勵支持的自主研發高科技創新的“雙軟認定企業”和“高新技術企業”,鉆研郵件風險管理和信息安全內控管理。以電子郵件安全管理為核心,研發了一系列“電郵安全與合規”為中心的核心產品線,衍生到威脅防御與聯合防御體系。守內安十幾年來秉承“以客為尊”的服務理念,樹立了“服務?品質?值得信賴”的品牌理念,目前已擁有7000+家全球性企業級用戶,終端用戶達80,000,000+人次。
守內安受到廣大客戶認可的端口25 郵件安全生態防御明星產品:
- SPAM SQR: 防垃圾郵件過濾系統-提供勒索、APT及商業郵件詐騙等惡意郵件的防御。
- MSE: 電子郵件過濾審批系統-郵件事先過濾審批策略,防止數據通過郵件外泄(DLP)。
- MAE: 電子郵件歸檔審計系統-事后快速調閱,審計舉證與合規性。
- Mail SOC: 提供郵件巡航與RBL等偵測服務。
- SMRS: 外發郵件不通轉發安全中繼平臺服務。
服務咨詢:+86-021-51036007
官網:www.softnext.com.cn