APT进阶持续性威胁，主要目标攻击侵入点:eMail

Sammi888

企业电子邮件流量预计会在2016年底达到1430亿封
最近几年间，因为企业中有了 Web 应用程序、社交媒体，以及消费化应用的出现，有效促进了商务沟通的能力。但电子邮件仍然是用来交换重要商业信息的主要媒介。企业的电子邮件流量占了今日全球流量的大部分。根据一项研究显示，企业电子邮件的流量预计会在2016年底达到 1430 亿封。


有73％的企业表示他们通过公司电子邮件来传送高度机密的数据
通过电子邮件进行商务沟通既快速又简单，在大多数情况下，只要有网络就可以。它可以放入足够长度的内容，也可以用正式的格式来做数据交换。电子邮件也有可被法庭认同的法律效力。
电子邮件被认为是关键的信息服务（注）。员工会认为这在工作流程中是必要的，所以零电子邮件的政策难以落实。研究显示，有 73% 的企业表示他们通过公司电子邮件来传送高度机密的数据。有些关键文件包括客户数据、产品设计，企业策略和销售报价等等。
经由电子邮件寄送的重要信息类别：


        敏感的赔偿问题 47%
        并购活动 33%
        可能的资遣和组织重组 45%
        产品规划蓝图 63%
        预算计划 76%
来源：PhoneFactor
电子邮件附件
商务人士经常会在电子邮件内附加文件，这已经成为正常商务通讯的一部分。
•        微软 Word 文档：Windows 已经被企业广泛采用。因此唯一和该操作系统完全兼容的微软 Office 套件也非常普及（注）。
•        PDF 文档：组织使用 PDF 文档是因为它支持多平台，可以很容易地传播、归档和储存。根据研究显示，有 90% 的企业将扫描文件储存成 PDF 文档。而 89% 的受访者表示，他们正在把微软 Word 文档转换成 PDF 文档（注）。
毫无疑问，攻击者已经了解到利用电子邮件在目标攻击活动里传播攻击工具是非常有效的作法。
目标攻击进入点
目标攻击或APT高级持续性渗透攻击是一种威胁类型，可以长时间潜伏在网络或系统内，借此达到它们的目的（通常是窃取数据）而不被检测到。



目标攻击的幕后黑手会先利用开放的数据源做研究，做出有效的社会工程学陷阱诱饵。既然电子邮件是最常被使用的商务沟通方式，恶意威胁份子通常就会经由这种媒介来带入漏洞攻击。这些漏洞攻击之后会下载更多的恶意软件。


图 2，被用在目标攻击内的电子邮件样本
电子邮件作为感染媒介的社会工程学技术
为了让收件人相信诱骗用的电子邮件，攻击者常用三个伎俩：
•        通过常用的网页邮件账号（例如 Yahoo!、Gmail 等）发送
•        利用之前入侵获得的电子邮件账号发送，好让受害者可以更相信他们的内容
•        利用伪造的电子邮件地址，例如特定部门或目标办公室内的高级主管


在被称为“Lurid”的目标攻击活动中，其中一个电子邮件样本伪造了发信来源，让这邮件看似来自达赖喇嘛的办公室。而另一个被称为“Nitro”的目标攻击，它所用的邮件地址看似来自目标公司的信息部门（注）。
•        精心制作内容让它与现实相符
RSA 在 2011 年初所受到的攻击中，送到少数员工的电子邮件主题为“2011 Recruitment Plan（2011 年招聘计划）”（注）。
•        伪造附件文件名让它与现实相符
在 Luckycat 攻击活动中，趋势科技的研究人员发现了各式各样的例子，例如送给印度受害者的电子邮件就伪装成内含该国弹道导弹防御计划的数据。
只要用到一个或多个上述伎俩，就能够说服收件人下载和打开附件文档。
漏洞攻击载体
恶意威胁份子会利用许多其他常用软件漏洞，例如 Adobe Flash Player、微软 PowerPoint 和Excel 等，只要有用就行了，因为之前已经对目标公司的网络环境做好了研究。
IXESHE，一个目标攻击利用入侵沦陷的服务器作为命令和控制服务器来进行零时差漏洞攻击，就使用了针对 Adobe Reader 的漏洞。其他攻击活动，例如 Sykipot（注）、Lurid 和 Luckycat 都会使用 PDF 文档作为一开始进攻目标单位的诱饵。
恶意威胁份子也同样会用微软 Word 文档作为诱饵，例如 Luckycat 攻击活动就有用到。如同图 3 所示，和其他同样来自微软的软件相比，微软 Word 在我们所观察期间内最常被利用。不过这主要是因为攻击者找到一个可靠的漏洞攻击码去针对一个有点久的漏洞 – CVE-2010-3333。这也说明了目标攻击不会特别只使用零时差攻击，主要还是会用有效且可靠的漏洞攻击码。
其他渠道：社交网络平台、实时通讯和行动设备
恶意威胁份子同样可以利用实时通讯和社交网络平台作为目标攻击的起始点，并不仅限于电子邮件。此外，趋势科技研究人员也发现了攻击者想利用行动平台来进行目标攻击的具体证据（注）。


图 4，目标攻击的进入点
保卫进入点
检验目标攻击一开始可能的进入点，并布署适合的防卫措施，可以让企业保护好自己的网络，避免关键、敏感和机密数据落入攻击者手中。毕竟这是所有企业都想要避免的状况。
既然目标攻击通常会利用电子邮件作为进入点，电子邮件安全解决方案，例如趋势科技InterScan Messaging Security Suite、ScanMail Suite for Microsoft Exchange，以及 ScanMail Suite for IBM Lotus Domino 就要嵌入新型的防御机制。在这些解决方案里，通过网页信誉评比技术可以封锁带有恶意网址的网络钓鱼。不过因为目标攻击的特性，这些解决方案最好和可以识别藏有恶意软件的恶意邮件附件文件技术一起配合运作。
这类产品具有新的扫描引擎，可以通过分析文件属性和扫描已知和可能的文件漏洞攻击码，以判断附件文档是否含有针对性的恶意软件。如果附件文档被判断为可疑，可以自动送到沙盒解决方案中，并作进一步分析。执行沙盒的分析能力就好像 Deep Discovery Advisor 内建的功能一样，可以让可疑文件在隔离的环境内运行，对其进行限制，并观察其行为。这种解决方案不仅可以提供实时防护，也能将新的威胁信息反馈到其他安全防护措施中，借此可提供定制化的防御，抵御复杂的威胁。
要消除目标攻击的风险，企业需要更大规模的多层次安全解决方案和实时威胁管理技术。例如趋势科技 的 Deep Security这样的解决方案，可以让网络管理者深入了解并掌控整体网络全貌，以降低目标攻击的危险性，并且不管攻击者会利用什么设备（例如智能手机、平板电脑等）或入侵方式（例如移动设备、电子邮件、实时通讯或社交网站），都能有效解决。

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！

爱趋势社区--下载/论坛/分享  http://www.iqushi.com

官方微博—拿礼品/分享最新IT资讯http://t.sina.com.cn/trendcloud

趋势科技CEO：陈怡桦EvaChen的微博http://weibo.com/evatrendmicro