国家网络安全宣传周，电信日引人注目

近日，由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、国家广播电视总局等十部门联合举办2018年国家网络安全宣传周正如火如荼进行中。

同期举办的“电信日主题论坛” 围绕行业关键信息基础设施保护、防范打击通讯信息诈骗、网络安全威胁防御等热点议题展台，引人注目。

以基础电信企业为代表的关键信息基础设施单位，历来是APT组织最主要的攻击目标之一，而电子邮件是攻击者的首选攻击载体。

因此，没有邮件安全，何谈关键信息基础设施保护？

国家网络安全宣传周电信日，让我们一起来关注“APT邮件攻击”。

离不开的邮件，挥之不去的安全隐患

闭上眼睛，试想一下没有邮件的一天。

• 年度最大的行业会议预计下月举办。没有了电子邮件，市场部怎么与主办方沟通，及时获取后续的议程介绍和邀请函等？

• 最近人手严重不足。面向社会招聘，没有了电子邮件，人力资源部怎么快捷地获取简历？

• 商务谈判近半个月，与欧洲某供应商的合作终于接近尾声。没有了电子邮件，后续合同条款磋商、合同签订、合作付款等，怎么开展工作？

毫无疑问，邮件已成为现代日常办公的必需品，因而也成为“攻防必争之地”。

如果攻击者长期关注企业和个人动态，提前收集相关信息，伪装成会议主办方、求职者、合作伙伴等，针对某个目标用户精心制作邮件标题及附件，用户能识别吗？现有邮件安全产品能及时发现并预警吗？

事实证明——并不能！

过去，邮件安全问题并未得到足够的重视，也未得到有效的解决。

国际知名安全公司FireEye撰文指出“当前常用的邮件网关可以抵挡大多数传统的垃圾邮件和病毒邮件，但因缺乏自动化分析，面对APT、0day等更高级、更危险的邮件威胁时往往束手无策。应对大量出现的新型威胁时，依赖于反垃圾和反病毒软件，导致检测与响应延迟，为APT攻击者留下可利用的空白区。而对使用TLS发送的勒索邮件和钓鱼邮件，防火墙更是帮不上忙。“

检不出的危险邮件：一起真实的APT邮件攻击

睿眼·邮件抓到的某封APT邮件攻击

这是一封典型的鱼叉式钓鱼邮件，但因攻击者耍了点小手段，采用短域名内嵌PDF，逃过了邮件安全网关的检测。如果没有部署睿眼·邮件，这封邮件将悄无声息地进入目标用户的邮箱。

邮件内容“请及时查收订单信息”，当用户下载PDF后，页面会提示“请在线查看PDF”，引导用户在线浏览。用户点击“VIEW PO DOCUMENT FILE”后，才会跳转至钓鱼界面。

详细分析发现，这个钓鱼URL采用正常的域名，且页面设计非常人性化——先输入用户名再输入密码，同时页面采用延时方式让被害者误以为界面正在验证账户信息。

而通过溯源分析，研究人员发现，该黑客早在2018年5月就已对该集团内其他部门的数名员工发送信息探测邮件，进行信息收集。7月初，黑客锁定攻击目标，对截图中的目标用户发送了十多封钓鱼邮件，包含恶意pdf文件、钓鱼链接、恶意附件压缩包等，但竟无一被邮件网关等发现和告警。

为什么APT邮件攻击逃不过睿眼·邮件？

APT邮件攻击主要针对政府、大型央企等具备高价值数据的关键信息基础设施单位，集合了多种攻击方式，具有高威胁、持续性、隐匿性等特点。而睿眼-邮件攻击溯源系统是一款专业的邮件安全设备，为应对APT（高级持续性威胁）、BEC（商务电邮诈骗）、ATO（邮箱账号失窃）等高级邮件威胁而生。

针对APT邮件攻击的特点，睿眼-邮件攻击溯源系统提出了以下解决方案：

1，检测邮件头、域名等邮件来源信息。

结合各种信誉库及用户历史数据，建立贴合用户业务的内部黑域名库和黑IP库。同时，联动云端威胁情报共享中心的黑客指纹档案，对可疑邮件进行研判和阻断。

2，快速检测邮件内容。

对APT邮件攻击常见主旨意图、正文html语法特征等进行分析与标准化处理，建立颗粒度非常细的邮件内容检测模型。同时，采用docker进程级微沙箱检测技术，较传统沙箱检测技术更快速、高效地对正文中URL进行提取和检测，防止用户受邮件内容引导而点击恶意URL，访问恶意网站。

3，深度检测邮件附件。

对附件中常见的脚本、Office文档、PDF文档、可执行文件等可能携带的0day漏洞、1day漏洞进行检测。同时，采用加密混淆检测模型、附件内容语义模型，打分制静态分析技术等深入检测邮件附件，防止恶意文件、代码潜入用户网络，进行下一步恶意行为。

4，邮件攻击溯源分析。

内外网威胁情报联动，通过威胁传播路径的定位和回溯，综合提高对APT邮件攻击的检测能力和追查能力，洞察APT组织通过邮件进入企业内网的过程并及时告警。