近期，境外APT攻击组织 “海莲花(OceanLotus)” 持续利用网易的免费邮箱对我国政府机关与重要行业领域进行有组织、有计划、有针对性的长时间不间断攻击。黑客主要利用【2019年5月标准干部培训课程通知】这类极具迷惑性的内容作为邮件主题和附件，向攻击目标发送鱼叉式钓鱼邮件。只要邮件接收者打开附件，主机将被攻击者完全掌控！

根据守内安与ASRC垃圾信息研究中心 (AsiaSpam-message Research Center) 的观察，海莲花的攻击前奏主要通过发送带有可触发 CVE-2017-11882 方程式漏洞的恶意文档来发动，一旦文档被开启，不需要用户再配合执行其他动作，漏洞便会触发执行恶意程序，攻击者便可取得受感染电脑的控制权，借以发动其他恶意攻击。守内安 SPAM SQR 邮件安全网关搭配 ADM ( Advanced Defense Module ) 高级防御模块，已可拦截利用CVE-2017-11882方程式漏洞的文档攻击。

不仅“海莲花”这类 APT 攻击事件，其他让企业损失惨重的信息安全事件，例如 BEC金融诈骗、勒索软件等，也都是由一封钓鱼邮件开始，黑客通过高度伪装的钓鱼邮件，搭配社交工程手法对目标发动攻击。这类钓鱼邮件极具迷惑性且手法高超，让人难以用肉眼分辨，光是靠教育用户小心谨慎防范钓鱼邮件是绝对不够的，尤其是对于没有IT背景、没有程序技术的用户而言，要他们对所有收到的邮件或信息都保持高度谨慎的态度来检验，不仅不切实际，弄得人心惶惶，还可能产生不少困扰与问题。企业应设法提供用户安全的邮件使用环境，只要能够做好电子邮件安全防御，信息安全防护工作便做好了一大半。

为了协助企业打造更安全的电子邮件环境，守内安SPAM SQR 邮件安全网关以多层过滤机制对抗新型态攻击入侵，提供企业全方位邮件过滤机制，不仅可以拦截垃圾邮件，亦能防御各式钓鱼与恶意威胁邮件。

SPAM SQR 针对新型态攻击邮件的防护有下列特色：

1.         恶意渗透分析，邮件及附件恶意链接全防御
通过云端差分更新技术，快速更新恶意网址数据库。且可针对邮件内容及附件内容进行扫描，更全面防御钓鱼等恶意邮件。

2.         置换可疑链接，避免用户好奇或误点击风险
将可疑邮件的链接置换掉，避免用户在查看拦截邮件时，因为好奇点击或操作时误点击恶意链接，导致被植入木马或下载恶意文档的风险。

3.         防御诈骗邮件，内发示警外发防伪
智能型诈骗邮件行为特征检测，可针对汇款诈骗、冒名伪造网域的社交邮件防御等做到邮件警示，当邮件放行到用户端时，可提醒用户提高警惕。此机制不会因为白名单设定不正确而影响判断结果，管理员只需要倡导收到类似邮件警示，需做确认，即可降低诈骗邮件入侵的风险。待发邮件则可约定往来邮件的验证机制，如 SPF, DKIM, DMARC，降低被伪造冒名的机会。

图1：汇款诈骗、冒名伪造网域等邮件设定邮件警示

4.         威胁统计报表与社交工程防御机制，指出内部高风险族群
一般用户信息安全意识较薄弱的情况下，很容易因为好奇而打开来路不明的邮件。通过SPAM SQR 社交工程防御机制与统计报表，从日常往来邮件，管理员便可了解内部用户的信息安全意识强弱，指出哪些人为高风险族群，作为企业信息安全教育的依据。

而威胁统计报表，结合各种威胁指标信息汇总于单一报表之中，方便管理员了解内部账号的风险情况，如SMTP IP认证异常、APT攻击目标以及乱发邮件等异常情况皆可在报表中显示。

图2 ：威胁统计报表 -威胁指标信息汇总于单一报表中，方便了解内部账号的风险情况
威胁指标排行 -列为高风险族群，企业可将这类族群列入内部安全防护强化重点人员。

5.         静态特征联合动态沙盒分析，抵御已知与未知威胁
SPAM SQR 的多层次过滤技术，结合了防毒特征码、恶意网址数据库、行为仿真防御、深层程序代码静态特征扫描及动态沙盒等分析。可先行分类垃圾邮件及可疑威胁邮件，再将特定格式附件拆离传送至沙盒进行比对，于虚拟平台进行程序分析。通过深度仿真和沙盒分析，将信息揭露并回传统一整合于 SPAM SQR，风险一目了然且更易于追踪管理。

关于守内安 SPAM SQR与ADM 高级防御模块

SPAM SQR 内建多种引擎（恶意档案分析引擎、威胁感知引擎、智能诈骗引擎）、恶意网址数据库，并可整合防毒与动态沙盒等机制，以多层式的运行过滤方式，对抗恶意威胁邮件的入侵。

SPAM SQR ADM ( Advanced Defense Module ) 高级防御模块，可防御鱼叉式攻击、APT 等新型进阶攻击手法邮件。研究团队经长时间的追踪黑客攻击行为，仿真产出静态特征。程序自动解封装档案进行扫描，可发掘潜在代码、隐藏的逻辑路径及反组译程序代码，以利进行进阶恶意软件分析比对。可提高拦截夹带零时差 (Zero-day) 恶意软件、APT 攻击工具及含有文件漏洞的攻击附件等攻击手法邮件的能力。

（封面图片来源：摄图网）