邮箱安全服务专题第5期 | 邮箱APT检测分析关键技术

上一期我们介绍了钓鱼邮件的常规检测方法，其实，无论采用怎么样的方式，人的安全意识永远都是第一位，纵使钓鱼邮件写得多么诱人深入人心，只要我们守住底线，点击之前先思考，还是可以有效得避免钓鱼邮件风险的。之前几期内容介绍的由于人的因素、邮箱系统本身的安全因素，发现和检测方法，本期我们将为大家介绍利用邮箱APT预警检测平台的分析角度。

图：看看这里有没有你常用的邮箱弱口令

邮件高级威胁检测平台

1

邮箱欺骗检测技术

伪造发件人进行欺骗攻击是邮件欺骗攻击非常常见的一个手段。例如：伪造 10086@xxxx.com发送某中奖消息的欺骗成功率要远远大于使用一般的邮箱地址进行发送邮件。我们采用两种方式进行伪造邮件地址进行防护：

本地域账户欺骗防护：

本地域邮件不会出现在网络中，一般都在系统内部流转。发现网络包出现本地域名发件人，即可认为是攻击邮件。

外部域欺骗防护：

建立可信发件邮箱地址库，对发件地址和对应邮箱的IP的匹配度进行判断，并对邮件头的跟踪，分析邮件的发送路径。

2

Webmail邮箱跨站检测技术

Webmail跨站目前是最常见的邮件攻击手段之一。项目采用两种技术手段来分析邮箱跨站。

静态脚本解析：

通过对邮件头的结构的分析，分离SMTP协议中 html部分代码，并解析html的dom对象，对关键的跨站触发节点进行分析，尽可能的发现跨站攻击。

动态沙盘技术：

将分离出来的html代码在沙盘的浏览器中执行，并通过劫持关键函数的方式，判断是否触发了跨站代码。

3

邮箱异常访问检测技术

邮箱异常访问分为几类：暴力密码猜测、恶意DDOS攻击、异常IP访问

邮箱异常访问检测技术通过对邮箱账户、密码、访问频度等各个维度进行分析，定位恶意攻击者。

通过自学习的方式建立一个邮箱地址和访问IP的关联库，当出现异常IP访问后，就发送告警信息。

4

邮箱后门检测技术

攻击者在完成邮箱攻击后，进场给邮箱留下一个后门。最常见的就利用转发技术讲目标邮箱的邮件转发出去。

邮箱后门检测技术可以利用获取的网络流量，关联目标账户和转发账户。当出现外部域邮箱转发时就进行告警。

5

恶意文件分析技术

通过常规恶意代码扫描技术分析已知道的恶意代码，确保已经公布的恶意代码可及时发现；

通过二进制分析技术发现文件中的恶意代码。大部分的高级攻击都使用未公布的漏洞或免杀的木马等，此类文件无法被有效的识别。利用二进制分析技术，可以发现可能存在的恶意代码攻击。要完成检测需要通过以下两种方式实现：

1、静态二进制文件安全分析技术可发现常见格式文件的异常特征，如：pdf、doc、exe、xls等。并根据其异常格式、文件异常特征、异常代码等判断文件的可疑特征。并进行进一步的分析。

2、动态模拟环境虚拟执行，并捕获恶意代码行为并进行分析。

恶意文件分析技术，可定位利用文件进行攻击的攻击进行，包括各种0day的攻击。

6

云端高级分析

对一些可疑的带攻击特征的文件，可以选择性上传到云端进行分析。云端采用集群化管理，并通过自动模拟的方式进行高级分析。在一些高级环境中，可通过专业工程师进行分析，获得更精确的结果。

部署

图：邮件APT预警检测系统部署方法

采用旁路部署方式，在连接目标机器的交换机上做端口镜像，将目标邮件服务器的进出流量通过端口镜像复制出来 。通过镜像流量对目标邮箱服务器进行威胁分析。