记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

电子邮件安全网关不安全

2018-10-18 01:45

电子邮件是当今威胁形势中最常见的攻击媒介。超过92%的恶意软件通过电子邮件进行传播,而且2017年,普通用户平均每月收到16封恶意电子邮件。网络犯罪分子滥用电子邮件传播恶意软件、窃取用户凭据和其他敏感数据。由于电子邮件无处不在、攻击面大,所以是一种非常常用的攻击媒介。

这就是为什么公司在安全技术上(包括安全的电子邮件网关)花费数千至数百万美元。但是,声称这些技术可以防止所有威胁是错误的,研究人员发现过无数起绕过电子邮件网关、导致用户帐户受损的网络钓鱼事件。

ProofpointMimecast通常无法处理简单的网络钓鱼攻击

Proofpoint创立于2002年6月,总部位于美国加州桑尼维尔,是一家网络安全服务领导公司,提供电子邮件安全、归档及防止数据丢失整合解决方案。Mimecast是一家为Microsoft Exchange和Office365提供安全的邮件归档和云存储服务的公司,Mimecast的云存储平台集成了存储、归档、垃圾邮件过滤和病毒查杀功能,同时,Mimecast还集成了一种新型安全设置,该设置允许用户对每封电子邮件进行个性化的安全设置,而且还支持实时归档搜索。

像Proofpoint和Mimecast这样的公司提供的安全解决方案通常无法阻止网络钓鱼攻击,但却会让客户产生虚假的安全感。Proofpoint和Mimecast也未能像其广告中宣传的那样可以抵御破坏URL的攻击。这些服务通常也无法阻止基本的网络钓鱼方案,包括一些使用托管服务(如Drive和Sharepoint)的方案、使用附件传播恶意软件或恶意链接的攻击和企业邮件受骇(BEC)攻击。

以下是一些Proofpoint和Mimecast允许简单的网络钓鱼攻击不间断地进行的许案例。

使用可信服务进行网络钓鱼

链接到受信任的传统Web服务上的超链接可以轻松地通过防火墙和邮件网关。由于其低成本和免费商业模式,攻击者使用Google Drive,SharePoint,WeTransfer和Dropbox等服务来托管包含嵌入式网络钓鱼网站链接的文件。邮件网关无法访问嵌入式链接,因此无法检查或阻止相关链接。有关在Google云端硬盘上托管的嵌入式网络钓鱼链接的PDF文件示例,请参见下面的图1:

图1:包含网络钓鱼URL的PDF

文本“Document.pdf(150.45 kb)”是URL的超链接,点击之后,受害者会进入图2所示的页面:

图2:网络钓鱼页面

这个网络钓鱼邮件通过使用Proofpoint无法阻止的技术成功发起攻击。幸运的是,收到这封邮件的员工训练有素,立即报告了网络钓鱼。

社会工程、企业邮件受骇以及Vish

使用一些基本的社会工程策略就可以得到受害者的凭证,而且根本无需向用户发送恶意链接或附件让电子邮件网关无效,因为没有要阻止的URL。

企业邮件受骇是一种常见的社会工程攻击类型,攻击者冒充(盗用)决策者的邮件,来下达与资金、利益相关的指令,如下图3所示。

图3:企业邮件受骇攻击

此外,常见的还有vishing攻击。在一次攻击中,vish冒充一家受信任的公司,要求受害者拨打电话,以解决并不存在的帐户问题(图4)。这种攻击允许攻击者通过电话或电子邮件获取受害者的帐户信息,而无需使用可能被电子邮件网关阻止的恶意内容。

图4:社会工程Vishing攻击

恶意附件

伪造的发票和收据,受密码保护的PDF以及其他恶意附件都是常见的网络钓鱼策略。由于大多数自动化解决方案仅筛选邮件正文中的链接,因此邮件网关无法检测这些在附件中的网络钓鱼链接。

最近,受密码保护的PDF网络钓鱼活动完全规避了Proofpoint的保护。此网络钓鱼邮件中含有打开电子邮件正文中附件的密码,敦促用户在收到后打开它,如下图5和图6所示。

图5:包含文档密码的网络钓鱼邮件内容片段

打开受密码保护的PDF后,用户会发现一个网络钓鱼网站的链接。

与前面的示例一样,带有超链接的word文档会始终绕过自动安全解决方案,如图6所示。

图6:带有嵌入式网络钓鱼链接的.docx文件

纯粹依赖自动化网关解决方案永远无法阻止嵌入到附件中的网络钓鱼。

当恶意链接在电子邮件正文中时,这些邮件安全网关才能检测出来。然而,还是有许多电子邮件绕过这些网关并攻击目标受害者的情况出现。以下是Mimecast或Proofpoint无法重写URL的一些示例。其中Proofpoint重写了URL但未能阻止它,仍然允许用户与恶意网站进行交互的示例。

Proofpoint示例

下面的图7显示了电子邮件网关无法正确重写URL的第一个示例:

图7:Banco do Brasil邮件

上面的电子邮件包含一个链接“INICIRARALULARIZAÇÃO”,它将用户重新定向到恶意网站。仔细查看电子邮件正文的HTML代码(图8)可以看出链接的herf将用户带到hxxp://50[.]63[.]162[.]13/dkng[.]html,这个链接会将用户再次重新定向到hxxps://atualizacaocliente[./]info/loginseguro/Operador/。

图8:Banco do Brasil邮件HTML代码

电子邮件网关未能重写初始URL hxxp://50[.]63[.]162[.]13/dkng[.]html。

图9显示了另一个示例,其中电子邮件网关没能重写电子邮件中的URL:

图9:邮件示例2

在上面的两个示例中,邮件网关无法重写URL并将其替换为安全登录页面。

Mimecast

以下是Mimecast未能重写URL的示例(图10、图11、图12)。

图10:Mimecast示例1

图11:Mimecast示例2

图12:Mimecast示例3

研究人员分析了上面提到的所有三封电子邮件,确定它们是Geodo活动的一部分。Geodo,也称为Emotet,是一种窃取财务信息的银行木马,通常可以在受害者的计算机上安装其他恶意软件。Mimecast无法重写的许多网址都与Geodo广告系列有关。

Proofpoint会重写但不会阻止

在对网关重写URL的1,095个案例进行抽查时,研究人员发现了另一个问题:网关确实重写了URL,但它没有阻止URL,从而允许用户浏览恶意页面并与之交互。图13清楚显示,URL中有https://urldefense.proofpoint.com,表明该客户使用Proofpoint。

图13

但是,单击重写的Proofpoint URL会将用户定向到hxxps://olook[.]ml,这是一个试图窃取用户凭据仿冒网页,如图14所示。

图14:点击后显示的页面

点击提交之后,你的数据就会发给攻击者。

结论

这些示例表明,电子邮件网关通常无法阻止网络钓鱼威胁。虽然Proofpoint和Mimecast都可以成功地重写和阻止URL,但仍有许多情况下这些产品没有或不会阻止网络钓鱼威胁。仅依靠电子邮件网关来阻止恶意电子邮件可能会给您带来虚假的安全感,并可能导致违规。

了解Proofpoint,Mimecast和其他自动网关解决方案中的弱点是学习如何更好地保护自己的第一步。只有整体战略才能抵御所看到的各种网络钓鱼攻击。

知识来源: www.mottoin.com/tech/118199.html

阅读:24461 | 评论:0 | 标签:技术控

想收藏或者和大家分享这篇好文章→复制链接地址

“电子邮件安全网关不安全”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词