邮件是一个对个人和机构信息安全影响巨大的应用。个人往往容易收到各类垃圾邮件和精心伪装的网络钓鱼邮件,这些垃圾邮件和钓鱼邮件中经常包含包括病毒、木马程序、恶意链接和勒索软件在类的各式恶意代码。当前的钓鱼邮件通常采取点击诱骗、提供登录入口、内嵌附件、持续性欺骗以及高度定制化的方式来诱骗邮件接收者。而邮件接收者则出于好奇、害怕和紧急这三个最主要的人为感情因素而遭遇欺诈[1]。
根据统计,在互联网中每125封邮件中就有1封邮件含有恶意软件。在2016年中,垃圾邮件及内含恶意软件的垃圾邮件数量都有上升[2]。在针对金融机构发起的攻击中,利用钓鱼邮件进行鱼叉式攻击并渗透进入内部网络是一种首选方式之一。攻击者渗透进入到银行内部网络后可以进行控制系统权限、拦截和修改数据,发送恶意指令、进行数据窃取等计算机犯罪活动。2015年卡巴斯基实验室就公布了一起通过钓鱼邮件成功入侵俄罗斯某银行而窃取ATM现金的攻击事件[3]。
此外,利用含有勒索程序的邮件进行勒索也是这几年日渐增加的一种攻击方式。根据统计,2015年中针对个人消费者的勒索攻击占到总攻击的57%,针对机构的攻击为43%。根据cisco公司研究报告显示,先进的漏洞利用平台仍然依赖于Adobe Flash软件漏洞,这些漏洞帮助勒索软件更为容易获得成功并使其成为一个突出的威胁[4]。此外,正是由于部分个人和机构向勒索者的妥协,使得勒索软件的数量剧增。Symantec公司在2014年新增发现77个家族,但在2015年则新增发现了100个家族。当前勒索软件呈现高度组织化和自助服务化的趋势。例如,一些勒索软件不仅仅通过页面提示受害者支付转账金额或比特币,它们在页面上还提供了其后台呼叫中心的服务电话号码提供提供5*8小时的电话服务指导你如何支付赎金以及如何在支付赎金后进行技术解锁操作,犯罪组织的专业性由此可见。在2015年中,地下黑产已经将勒索软件已发展成为一种勒索软件即服务的模式(Ransomware-as-a-Service, RaaS)
另外,勒索软件一直在进行精心的伪装并诱骗用户点击邮件附件或邮件链接。下图是cisco公司在2016年监测在垃圾邮件中最常见的社会工程欺诈主题/内容
总体而言,个人用户的警惕性不高,勒索软件的精心伪装和诱惑,对高危漏洞/零日漏洞的利用以及缺乏邮件检测过滤防护系统是勒索软件获得成功的主要因素。对于金融行业而言,勒索软件将是近期一个需要注意的方向。美国联邦金融机构检查委员会(FFIEC)和金融服务业协调委员会(FSSCC)在2015年晚些时候向美国金融服务行业就勒索软件单独发布了特别警告。而根据美国SANS机构的2016年底的一份针对金融行业机构的调查报告显示55%的机构认为勒索软件超越网络钓鱼(50%)成为首选的安全威胁之一,32%的机构反映他们损失了10万美元至50万美元不等的损失[6]。国外的一些金融机构例如英国伦敦银行甚至已经拨出专款购买比特币以防遭遇勒索软件攻击。
传统邮件安全防护措施的不足
前面提到,随着攻防双方的技术提升,攻击者在对金融机构发动攻击时会发现,由于金融机构较之一般企业机构更为重视信息安全,一方面暴露在互联网上的业务系统并不多,另一方面针对互联网业务系统采取了较为严密的安全防护措施。攻击者如果采取正面直接攻击互联网业务系统的方式则往往难以成功。考虑到电子邮件存在着用户之前信任、散布和发送成本低、可以集成多种攻击手段、容易进行掩盖以及邮件系统自身脆弱性等特点,因此攻击者针对金融机构的攻击更倾向于利用社会工程学通过钓鱼邮件并结合零日漏洞和恶意代码的这类攻击方式攻击渗透进入机构内部。
在传统的邮件安全中除了加强对用户的安全意识培训外,技术手段是主要的防护方式。在传统技术防护手段中“垃圾邮件整治”、“邮件服务器声誉保护”、“邮件病毒查杀”、“邮件内容泄密”是主要的四个防护重点,而“邮件病毒查杀”是一个主要的检测和阻断恶意代码攻击的手段。但是实践的过程里常规病毒查杀引擎存在着三个主要问题:
其一,因为加载和运行能力的限制,病毒查杀引擎并不能完全检测出已知的恶意软件。在 NTT Group 发布的《2014 Global Threat Intelligence Report》 中公布了一组数字,他们采用 11 家不同的 商业和免费防病毒引擎,测试了蜜罐系统获得的恶意软件,发现高达 54% 的样本未能被检测出来。
其二,零日漏洞代码的利用以及其后采取多态和变形的高级攻击逃逸技术使得传统基于特征签名为基础的查杀引擎难以发现这类高级威胁恶意软件。Zeus(宙斯)木马就是一个具体的例子,Zeus 是一个金融类木马,窃取感染主机的在线交易数据,特别是网上银行帐号及交易凭据等。Zeus 木马出现于 2007 年,于2009 年被发现,但由于其不断变形的特点,虽然防病毒产品更新、添加了数以百计的检测签名,但一直未能有效控制,现今Zeus 已知变体超过 40000 余种,影响190 多个国家和地区。
其三,此外攻击者对零日漏洞的快速利用,以及用户端检测引擎更新的落后时效性也使得传统的病毒查杀引擎在应对恶意代码上检测上显得更为乏力。以CVE-2015-3113漏洞为例,国际著名的漏洞利用集成工具Magnitude在漏洞颁发仅4天后就已经集成了开源的漏洞利用代码。其利用时间早于绝大多数用户更新其安全产品规则库的时间。
因此,我们需要引进新的安全解决思路来应对利用嵌入到邮件正文链接及附件中的零日漏洞和恶意代码所发起的网络钓鱼、APT攻击和勒索攻击。
绿盟金融行业邮件安全解决方案
针对网络钓鱼、APT攻击、勒索软件,国内外安全界曾经提出了多种不同的检测或预防技术,安全厂商往往使用这些方法的组合来进行分析监测,这些技术包括:
- 采用深度包检测进行网络分析,如:
- 网络通信分析
- 多层网络流量异常、行为检测、事件相关性
- 枚举异常IP流量(如:基于RFC等标准)
- 恶意主机、URL基于文件信誉体系
- 恶意软件的命令和控制通道检测
- 自动文件静态分析
- 自动分离、解析文件对象
- 检测嵌入的可执行代码
- 检测逃避技术,如封装、编码及加密等
- 基于可视化、报警等进行手动分析
- 恶意行为可视化及其分析报告
- 可视化详细的网络流量,并关联威胁、信誉与风险级别
- 网络流量或完整的数据包捕获上的取证分析
以上方式在使用中被发现了多个问题,包括误报率高、大量漏报,也包括对安全管理人员的要求过高,以至于大多数组织无法使产品发挥预想的检测作用。因而这些技术方式没有被市场广泛认可。直到以FireEye公司为代表的基于虚拟执行技术的产品出现。这类产品易于部署管理、可以忽略的误报率、及时检测未知威胁,因此受到了客户的广泛认可,产品市场占有率也获得了较快的突破和发展。Gartenr组织的研究表明采用拟执行或模拟环境的检测方法是一种先进的邮件安全监测技术并且可作为传统邮件安全网关检测方式的有益补充。
该方法利用一个操作系统或浏览器实例,发起建立一个虚拟的执行容器(或者称为一个沙箱),使恶意软件和恶意链接在其中执行,就像在真实的用户环境一样。这种方式可以有效的邮件正文中的恶意链接以及邮件附件中的含有未知恶意代码的文档(如office文档、PDF、可执行文件、脚本文件等)进行检测。
通过这种方式,安全产品和技术人员可以对整个攻击生命周期进行观察,从最初的漏洞利用,随后与命令控制服务器的通信,下载进一步的恶意可执行文件以及随后的网络回调。这种检测技术因为可以检测漏洞利用阶段的恶意软件行为,因此避免了其它只检测后期阶段活动产品的漏报(这个阶段是可以采用加密等一系列方式进行逃避)。并且因为监测是基于一个高度近似真实用户环境的恶意软件的真实活动的,因此误报率极低。良好的漏报率和误报率指标是这种基于虚拟执行环境或者沙箱的检测技术成为邮件安全中应对高级可持续威胁监测的最新和最重要的技术手段。
绿盟邮件威胁分析系统
绿盟邮件威胁分析系统,英文名称为NSFOCUS Threat Analysis Center for Email(以下简称TAC-E),该产品是专门检测邮件高级威胁的网络沙箱类安全产品。该产品主要针对包含未知威胁代码的鱼叉APT攻击和勒索软件两大类高级邮件威胁。
定向的邮件APT攻击为鱼叉攻击,勒索软件是通过钓鱼邮件的方式,引诱用户点击中招。目前,勒索软件有逐渐扩散,种类越来越多的趋势。传统的防病毒产品,传统的邮件安全网关面对新的勒索软件以及勒索软件的变种很难进行检测和防护。
鱼叉APT威胁和勒索软件,这两种主要的未知恶意软件威胁,是TAC-E主要进行检测和防护的对象。TAC-E接收到可疑的邮件,会对其中的恶意URL和附件进行安全检测,在执行沙箱检测分析后,如确认没有安全风险才将邮件往后端的邮件服务器进行投递。因此,TAC-E在用户已有邮件安全网关的同时,可为用户的邮件提供第二道的安全检测和防护。
TAC-E系统采用多核、虚拟化平台,通过并行虚拟环境检测及流处理方式达到更高的性能和更高的检测率。
系统共四个核心检测组件:信誉检测引擎、病毒检测引擎、静态检测引擎(包含漏洞检测及shellcode检测)和动态沙箱检测引擎,通过多种检测技术的并行检测,在检测已知威胁的同时,可以有效检测零日攻击和未知攻击,进而能够有效地监测高级可持续威胁。参见下图:
- 邮件接收和转发
TAC-E部署在传统邮件安全网关和邮件服务器之间,接收来自外部(邮件安全网关)的邮件,经过对邮件正文和附件的过滤,再转发给邮件服务器。对邮件的接收和转发,是TAC-E的基本功能。
- 邮件安全检测
TAC-E收到外网或者上游邮件安全网关的邮件后,对邮件进行安全检测。邮件正文中的URL和邮件附件,是安全检测的内容。
- 邮件隔离和删除
邮件经过TAC-E检测后,如果存在恶意软件行为,可以根据策略,进行隔离或者删除操作。对于隔离的文件,可以通过邮件的方式,提醒收件人被隔离的邮件。
- 多种应用层及文件层解码
从高级可持续威胁的攻击路径上分析,绝大多数的攻击来自与Web冲浪,钓鱼邮件以及文件共享,基于此监测系统提供以上相关的应用协议的解码还原能力,具体包括:HTTP、SMTP、POP3、IMAP、FTP。
为了更精确的检测威胁,监控系统考虑到高级可持续威胁的攻击特点,对关键文件类型进行完整的文件还原解析,系统支持了以下的文件解码:
- Office类:Word、Excel、PowerPoint…
- Adobe类:.swf、.pdf…
- 不同的压缩格式:.zip、.rar、.gz、.tar、.7z,.bz…
- 图片类:jpg、jpeg、bmp….
- 独特的信誉设计
TAC-E利用广阔的全球信誉,让检测更加高效、精准,当文件被还原出来后,首先进入信誉检测引擎,利用全球信誉库的信息进行一次检测,如果文件命中则提升在非动态环境下的检测优先级但不放到动态检测引擎中进行检测,如有需求可手动加载至动态检测引擎用以生成详细的报告。目前的信誉值主要有文件的MD5、CRC32值,该文件的下载URL地址、IP等信息;
- 集成多种已知威胁检测技术:AV、基于漏洞的静态检测
系统为更全面的检测已知、未知恶意软件,同时内置AV检测模块及基于漏洞的静态检测模块。
AV模块采用启发式文件扫描技术,可对 HTTP、SMTP、POP3、FTP 等多种协议类型的百万种病毒进行查杀,包括木马、蠕虫、宏病毒、脚本病毒等,同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。
静态漏洞检测模块,不同与基于攻击特征的检测技术,它关注与攻击威胁中造成溢出等漏洞利用的特征,虽然需要基于已知的漏洞信息,但是检测精度高,并且针对利用同一漏洞的不同恶意软件,可以使用一个检测规则做到完整的覆盖,也就是说不但可以针对已知漏洞和恶意软件,对部分的未知恶意软件也有较好的检测效果。
- 智能ShellCode检测
恶意攻击软件中具体的攻击功能实现是一段攻击者精心构造的可执行代码,即ShellCode。一般是开启Shell、下载并执行攻击程序、添加系统账户等。由于通常攻击程序中一定会包含ShellCode,所以可以检测是否存在ShellCode作为监测恶意软件的依据。这种检测技术不依赖与特定的攻击样本或者漏洞利用方式,可以有效的检测已知、未知威胁。
需要注意的是由于传统的ShellCode检测已经被业界一些厂商使用,因此攻击者在构造ShellCode时,往往会使用一些变形技术来规避。主要手段就是对相应的功能字段进行编码,达到攻击客户端时,解码字段首先运行,对编码后的功能字段进行解码,然后跳到解码后的功能字段执行。这样的情况下,简单的匹配相关的攻击功能字段就无法发现相关威胁了。
系统在传统ShellCode检测基础上,增加了文件解码功能,通过对不同文件格式的解码,还原出攻击功能字段,从而在新的情势下,依然可以检测出已知、未知威胁。在系统中,此方式作为沙箱检测的有益补充,使系统具备更强的检测能力,提升攻击检测率。
- 动态沙箱检测(虚拟执行检测)
动态沙箱检测,也称虚拟执行检测,它通过虚拟机技术建立多个不同的应用环境,观察程序在其中的行为,来判断是否存在攻击。这种方式可以检测已知和未知威胁,并且因为分析的是真实应用环境下的真实行为,因此可以做到极低的误报率,而较高的检测率。
检测系统具备指令级的代码分析能力,可以跟踪分析指令特征以及行为特征。指令特征包括了堆、栈中的代码执行情况等,通过指令运行中的内存空间的异常变化,可以发现各种溢出攻击等漏洞利用行为,发现零日漏洞。系统同时跟踪以下的行为特征,包括:
- 进程的创建中止,进程注入;
- 服务、驱动
- 注册表访问、改写
- 文件访问、改写、下载
- 程序端口监听
- 网络访问行为
- ……
系统根据以上行为特征,综合分析找到属于攻击威胁的行为特征,进而发现零日木马等恶意软件。
系统发现恶意软件后,会持续观察其进一步的行为,包括网络、文件、进程、注册表等等,作为报警内容的一部分输出给安全管理员,方便追查和审计。而其中恶意软件连接C&C服务器(命令与控制服务器)的网络特征也可以进一步被用来发现、跟踪botnet网络。
- 完备的虚拟环境
目前典型的APT攻击多是通过钓鱼邮件、诱惑性网站等方式将恶意代码传递到内网的终端上,绿盟TAC-E支持http、pop3、smtp、imap、smb等典型的互联网传输协议。绿盟TAC-E内置静态检测引擎,通过模拟CPU指令集的方式来形成轻量级的虚拟环境,以应对因设备内置虚拟环境有限而导致部分文件无法运行的问题。
很多APT安全事件都是从防御较薄弱的终端用户处入手,绿盟TAC-E支持WINXP、WIN7、安卓(即将发布)等多个终端虚拟操作系统;
- 多核虚拟化平台
系统设计在一台机器上运行多个虚拟机,同时利用并行虚拟机加快执行检测任务,以达到一个可扩展的平台来处理现实世界的高速网络流量,及时、有效的进行威胁监测。
通过专门设计的虚拟机管理程序来执行威胁分析的检测策略,管理程序支持大量并行的执行环境,即包括操作系统、升级包、应用程序组合的虚拟机。每个虚拟机利用包含的环境,识别恶意软件及其关键行为特征。通过这种设计,达到了同时多并发流量、多虚拟执行环境的并行处理,提高了性能及检测率。
绿盟TAC-E产品部署在传统邮件网关和用户后端邮件服务器之间。与传统的邮件安全网关类似,TAC-E通过SMTP协议进行邮件的收发代理并根据安全策略进行邮件内容的安全检测和安全防护。在具体使用中用户可以自行配置邮件安全策略。TAC-E的安全策略包含两个模式,分别是告警模式和阻断模式。告警模式和阻断模式的部署场景相同,不同之处在于对恶意邮件的处理策略。在告警模式下TAC-E只进行告警,不阻断邮件;在阻断模式下TAC-E则既告警,同时又阻断。
结束语
近年来,通过邮件进行APT攻击以及勒索软件攻击的案例呈现不断上升的趋势。从2016年的SWIFT惊天劫案以及其它曝光的国外金融机构遭遇勒索软件攻击的事件可以看到金融行业目前面临着严重的邮件安全威胁。传统的邮件安全防护措施并不足以完全应对,金融客户们亟需新一代高级可持续威胁检测防护手段。
绿盟邮件威胁分析系统/NSFOCUS Threat Analysis Center for Email(TAC-E)提供了业界领先的未知威胁检测能力,通过新一代的威胁分析检测技术,绿盟科技的产品和技术能够有效检测通过电子邮件进入网络的已知和未知的恶意软件,发现利用零日漏洞的APT攻击行为,发现恶意勒索软件代码、保护客户网络免遭这些攻击所造成的诸如内网入侵、信息窃取、数据丢失等各种风险。总体而言,绿盟邮件威胁分析系统通过降低攻击面,增加纵深安全防御的方式将有力的协助金融客户提升和加强自身的信息安全体系防护能力。
- “Enterprise Phishing Susceptibility and Resiliency Report 2016”
- “Cisco 2017 Annual Cybersecurity Report”
- https://securelist.com/blog/research/73638/apt-style-bank-robberies-increase-with-metel-gcman-and-carbanak-2-0-attacks
- “Cisco 2016 Midyear Cybersecurity Report”
- http://blog.imperva.com/2016/04/ransomware-as-a-service-malicious-insiders-deadly-threat.html
- http://www.greatlakescomputer.com/blog/ransomware-attacks-now-top-threat-to-financial-industry。
- 《2014 Global Threat Intelligence Report》, NTT Group