邮箱安全服务专题第5期 | 邮箱APT检测分析关键技术

上一期我们介绍了钓鱼邮件的常规检测方法,其实,无论采用怎么样的方式,人的安全意识永远都是第一位,纵使钓鱼邮件写得多么诱人深入人心,只要我们守住底线,点击之前先思考,还是可以有效得避免钓鱼邮件风险的。之前几期内容介绍的由于人的因素、邮箱系统本身的安全因素,发现和检测方法,本期我们将为大家介绍利用邮箱APT预警检测平台的分析角度

图:看看这里有没有你常用的邮箱弱口令

邮件高级威胁检测平台

1

邮箱欺骗检测技术

伪造发件人进行欺骗攻击是邮件欺骗攻击非常常见的一个手段。例如:伪造 10086@xxxx.com发送某中奖消息的欺骗成功率要远远大于使用一般的邮箱地址进行发送邮件。我们采用两种方式进行伪造邮件地址进行防护:

本地域账户欺骗防护:

本地域邮件不会出现在网络中,一般都在系统内部流转。发现网络包出现本地域名发件人,即可认为是攻击邮件。

外部域欺骗防护:

建立可信发件邮箱地址库,对发件地址和对应邮箱的IP的匹配度进行判断,并对邮件头的跟踪,分析邮件的发送路径。

2

Webmail邮箱跨站检测技术

Webmail跨站目前是最常见的邮件攻击手段之一。项目采用两种技术手段来分析邮箱跨站。

静态脚本解析:

通过对邮件头的结构的分析,分离SMTP协议中 html部分代码,并解析html的dom对象,对关键的跨站触发节点进行分析,尽可能的发现跨站攻击。

动态沙盘技术:

将分离出来的html代码在沙盘的浏览器中执行,并通过劫持关键函数的方式,判断是否触发了跨站代码。

3

邮箱异常访问检测技术

邮箱异常访问分为几类:暴力密码猜测、恶意DDOS攻击、异常IP访问

邮箱异常访问检测技术通过对邮箱账户、密码、访问频度等各个维度进行分析,定位恶意攻击者。

通过自学习的方式建立一个邮箱地址和访问IP的关联库,当出现异常IP访问后,就发送告警信息。

4

邮箱后门检测技术

攻击者在完成邮箱攻击后,进场给邮箱留下一个后门。最常见的就利用转发技术讲目标邮箱的邮件转发出去。

邮箱后门检测技术可以利用获取的网络流量,关联目标账户和转发账户。当出现外部域邮箱转发时就进行告警。

5

恶意文件分析技术

通过常规恶意代码扫描技术分析已知道的恶意代码,确保已经公布的恶意代码可及时发现;

通过二进制分析技术发现文件中的恶意代码。大部分的高级攻击都使用未公布的漏洞或免杀的木马等,此类文件无法被有效的识别。利用二进制分析技术,可以发现可能存在的恶意代码攻击。要完成检测需要通过以下两种方式实现:

1、静态二进制文件安全分析技术可发现常见格式文件的异常特征,如:pdf、doc、exe、xls等。并根据其异常格式、文件异常特征、异常代码等判断文件的可疑特征。并进行进一步的分析。

2、动态模拟环境虚拟执行,并捕获恶意代码行为并进行分析。

恶意文件分析技术,可定位利用文件进行攻击的攻击进行,包括各种0day的攻击。

6

云端高级分析

对一些可疑的带攻击特征的文件,可以选择性上传到云端进行分析。云端采用集群化管理,并通过自动模拟的方式进行高级分析。在一些高级环境中,可通过专业工程师进行分析,获得更精确的结果。

部署

图:邮件APT预警检测系统部署方法

采用旁路部署方式,在连接目标机器的交换机上做端口镜像,将目标邮件服务器的进出流量通过端口镜像复制出来 。通过镜像流量对目标邮箱服务器进行威胁分析。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-12-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏数据和云

PayPal Oracle数据库的隐含参数

在这篇小文中,我和大家分享一下PayPal数据库的隐含参数,注意,本文参考资料来自网络OOW公开文档,只是我也是首次注意到这些设置。 在图中架构,可以看到Pay...

3008
来自专栏农夫安全

某厂商的一个小秘密

事情是这样的,朋友发了一个ssrf的POST包过来让我去测试一下能不能绕过,然后在聊天界面输入了DNSLOG的地址,然后奇怪的事情是,我和他都没访问,但是莫名...

1413
来自专栏EAWorld

DevOps平台中的自动化部署框架设计

本文目录: 一、背景 二、我们的需求是什么? 三、概念澄清 四、概念模型 五、总体设计 六、关键点设计 七、总结 一、背景 说到自动化部署,大家肯定都会想到一些...

5484
来自专栏HaHack

手把手教你编写叮当机器人插件

1996
来自专栏ThoughtWorks

组件测试:改建遗留系统的起点 | 洞见

在遗留系统中工作,无论是开发新功能,还是对旧功能进行修改,抑或是通过重构以期重拾其往日的雄风,都会面临大量的挑战。这些挑战主要来自于流失的业务知识、失传的技术和...

1343
来自专栏杨建荣的学习笔记

迁移式升级的一点思考 (r10笔记第27天)

目前有一个很实际的需求,因为硬件老化严重,需要能够借助一次维护时机把数据库迁移到一台较好配置的机器上,避免潜在的硬件故障导致的业务停顿,也算防患于未然吧。 本来...

2767
来自专栏IT派

2018年最好用的5个python网站开发框架

python作为解释型脚本语言,是一种通用的编程语言。由于python社区拥有大量的库文件、框架和其他的一些实用工具,我们可以用python完成各种各样的任务。...

3540
来自专栏布尔

后短信集成时代

后短信集成时代,短信提醒(短信交互)功能基本上已经是一个日常应用系统的必备功能,当前的应用也做了一次这样的尝试。 1.移动部署的MAS包括两个部分,一是移动短信...

2278
来自专栏芋道源码1024

Dubbo源码解析 —— 服务暴露原理

前言 之前讲完了dubbo集群容错系列,现在开始讲比较重要的环节,也就是dubbo面试中比较喜欢问的两个点: 服务发布和 服务引用. 插播面试题 服务发布过程...

3655
来自专栏产品成长日志

工具|高效能人士文件管理神器

场景一:使用公司电脑编辑一个文档,到家后使用家用电脑继续编辑,第二天到公司接着修改,如何做效率比较高呢?

2383

扫码关注云+社区

领取腾讯云代金券