从希拉里邮件门到美国大选通俄门等一系列的安全事件,黑客们精心设计的钓鱼邮件,起到的作用难以想象。
钓鱼邮件,虽然听起来很不起眼,但是作用和效果非常之大,危害及其严重,只有你是社会的一份子,在社会上交流、生活就有可能会被盯上的。
在移动互联网时代,催生了各种技术和新的交流方式,其中电子邮件就是其中非常重要的一份子,我们可以借助电子邮件进行商务活动,交友、聊天、沟通等社会活动,在今天很多人的银行对账单网购交易确认单、帐号密码重置等都是使用邮件进行活动。这对于邮件钓鱼提供了基础和环境。
钓鱼邮件因此成为APT攻击的重要手法之一,隐藏在电子邮件中的附件中或者url链接中,在一定条件下激活,进行破坏和传播,轻则占用资源、破坏计算机系统部分功能,重则导致重要数据丢失、窃取机密信息,带来巨大的经济损失。
今天来简单说说如何对安全设备检测到的钓鱼邮件进行二次分析和有效处理。
有效内容提取
拿到一封可疑钓鱼邮件,获取邮件里面的数据,并对数据有效整理和提取
- 发件人邮箱
- 发件人IP地址
- 收件人邮箱
- 收件人IP地址
- 邮件附件名称
- 解析邮件头信息
- 内容中的URL链接
。。。。。。
信誉度分析
在进行可疑钓鱼邮件判断是否是恶意邮件,可以通过威胁情报的信誉度、文件信誉度等进行综合打分评判,通过多种检测手段对可疑邮件进行加权打分,判断是否是恶意邮件。
- 威胁情报
开源威胁情报目前比较多,笔者经常使用的威胁情报网站是threatfeeds.io,该网站情报不仅免费而且更新非常快。
通过开源威胁情报,对邮件中的邮箱和IP地址进行有效碰撞,通过情报的信誉值,判断该IP地址是恶意IP的可信度。 - 文件信誉度
对邮件的附件通过沙箱模拟真实主机的操作,并对文件操作、注册表操作,网络行为等进行综合判断 - URL信誉度
URL的信誉度,有两种方法,可以使用情报域名进行分析。或者使用白名单信誉库进行综合评判。
通过对可疑邮件的信誉度分析,判断文件可疑邮件是否是恶意,如果分数较低,关闭任务。如果分数较高,继续通过数据关联分析进一步判断
关联分析
通过以上信誉度分析判断可疑钓鱼邮件是恶意的可能性后,通过历史数据和家族数据对其关联分析,形成知识图谱,还原攻击场景。
- 攻击组织判断
通过对文件、URL和情报分析后,基本能够得到恶意代码的机构和代码逻辑,能够知晓C&C架构结构。对历史样本进行恶意代码对面、活动时间等判断其攻击组织和家族。 - 溯源分析
通过whois信息和PDNS数据进行交互式分析,绘制攻击的图谱,溯源攻击者相关参与者。
网络安全监测
- 立刻行动
对恶意邮件进行分析,确定是带有恶意攻击的钓鱼邮件后,立刻行动通知用户移除钓鱼邮件。 - 流量监测
通过流量监测,发现可疑的URL外联通讯,及时进行阻断,消除风险。 - 终端检测
通过终端主机的日志,判断钓鱼邮件的附件是否运行,从而通过本地日志信息判断该钓鱼邮件风险。
最后的话
对钓鱼邮件的检测,并不是一种设备能够检测和发现的。需要通过多种手段和方法多管齐下。尽可能收集更多的日志,不限于主机日志、网络日志、文件等。并结合开源威胁情报,实现企业网络的安全。
