有了邮件防火墙你就安全了吗?想法太单纯了……

本文讲的是有了邮件防火墙你就安全了吗?想法太单纯了……,我们可以注入什么东西呢?它可以是任何MIME类型的后门,比如:

1. 勒索软件
2. 宏病毒
3. ZIP文件
4. 钓鱼攻击代码

在这篇文章中,稍后会介绍两起成功的攻击案例。

漏洞组件

几乎所有接受入站SMTP连接的加密应用都可能受到攻击。我们的研究还发现,不仅硬件可以被攻击,而且虚拟主机同样会受到危害。

漏洞修复

据我们目前了解,我们没有发现可以完全防御这种攻击的补丁。我们目前只确定了两种解决方法:

1. 完全禁用掉网关到网关之前的加密服务。
2. 实施邮件检测方案,执行邮件的解密以及威胁检测工作。

修复这个漏洞没有快速解决方案。所以公司需要投入一定的时间以及人力去寻找有效的防护措施。

漏洞详情

众多的邮件加密应用使用如下两种方式部署:

1. 邮件加密应用以及邮件安全网关都在公司防火墙内部。这些MTA都会被分配给一个独立公开的IP地址。攻击者可以绕过邮件安全网关,直接到达邮件加密应用,将后门注入到邮件中。然后这些信息通过路由器到达内部网络,并在内网中传播。
2. 邮件加密应用在邮件安全防火墙之外,就像微软线上防护(EOP)一样。同样的,这些MTA也会被分配给一个公开的独立IP,攻击者同样可以直接到达加密应用,将后门注入到邮件中。邮件加密应用将所有邮件进行解密,然后发送到邮件安全网关。但是当安全网关进行邮件检测时,发送者的IP是加密应用的IP,而不是攻击者IP,所以防护措施这时是无效的。

攻击模拟

注意:这里为了保护目标公司不受到攻击,我们采用了无效的邮箱进行攻击。并且我们只是进入到内部SMTP服务器中,确保任何用户不会执行我们的后门。

实验一:攻击成功

环境:Microsoft Exchange服务器,电子邮件加密设备
我们攻击的目标是使用了WatchGuard作为邮件安全网关对Exchange服务器进行保护的。

步骤一:选择攻击目标
Excelsior Springs医院,位于 Excelsior Springs MO,具有400位职员。

步骤二:收集信息
在选中目标之后,我们使用自动收集信息脚本收集关于目标邮件服务器架构的公开信息。脚本首先确定了目标的MX记录。

接下来使用暴力破解对电子邮件加密设备进行查找,这样我们可以找到所有子域名以及其对应的MX记录。

然后我们使用设备搜索工具去测试我们找到的所有MTA,确定它们的25端口是否开启。最后为了快速的找到这个公司的有效邮箱,我们使用了whois进行查找。

最后我们找到了ArtGentry的一个邮箱:

步骤三:对电子邮件进行测试发送

我们发送一个没有任何危害的载荷,这会让我们了解到目标邮件安全网关以及内部邮件服务器是如何处理信息的。你可以看到,邮件安全网关接受了这一邮件。

From: tifr-at-psles.com
To: test-mailbox-123-at-esmc.org
Subject: Hello World
Message: Hello
Server: mail.esmc.org

我们邮件已经到达了目标内部邮件服务器,然后会发送到用户邮箱中。因为我们填写的是无效的邮箱,所以目标的邮件服务器会返回给我们”目标不可达”的错误信息。NDR最大的危害在于他们常常暴露太多内部网络的信息。在此次攻击中,NTR暴露了目标网络内部的以下内容:

WatchGuard Email Security Gateway
Microsoft Exchange Server 2010 with IP address 10.2.100.253

步骤四:发送恶意电子邮件进行测试
已经证实了目标具有邮件安全网关,我们现在生成一个恶意攻击代码,然后进行发送。我们对我们的电子邮件进行了伪装,使其看起来发件者为DocuSign,并且诱导读者点击查看文档。点击之后会跳转到木马地址。如下:

virusTotal对恶意软件进行分析的SHA256,以及名称如下所示:

URL: hxxp://LASVEGASTRADESHOWMARKETING.COM/file.php?document=MzM2MGFteUBrb250cm9sZnJlZWsuY29tMjEzNQ==
VirusTotal’s URL Analysis

Binary: Legal_acknowledgement_for_amy.doc
SHA256: 39cb85066f09ece243c60fd192877ef6fa1162ff0b83ac8bec16e6df495ee7af
VirusTotal’s Binary Analysis

不出所料,目标的邮件安全网关识别出了恶意软件,并且拦截了此条信息。

步骤五:进行拆分SMTP隧道攻击
在确认邮件安全网关能够识别恶意以及正常邮件之后,我们进行拆分SMTP隧道进行攻击。我们对之前步骤中的恶意邮件进行重新发送。但是这一次我们直接到达了目标邮件加密设备,而不是到达邮件安全网关。并且邮件加密设备接受了这一恶意软件,并对他进行加密(如图中:250
2.0.0 Ok: queued as 3BE32281A62):

在之前的测试中,当邮件通过目标Exchange服务器发送到用户邮箱时,如果用户邮箱不存在,那么就会返回”不可达”错误信息。你可以在下图中发现我们收到了Exchange服务器返回给我们的NDR,就说明我们的攻击已经成功了。此外NDR缺少”“X-WatchGuard”标头也表示了我们绕过了目标邮件安全网关。

此攻击演示了攻击者如何使用拆分隧道SMTP来利用电子邮件加密设备中的漏洞。

实验二:攻击成功

实验环境:微软office365,托管电子邮件加密
第二次攻击是针对微软office365的用户。与第一次攻击不同的是office邮件加密设备之后部署了office365,以便通过EOP防护进行保护邮件安全。不幸的是,这种架构同样容易受到攻击。

步骤一:选择攻击目标
Christiana Care Health System,位于 Wilmington, DE,拥有11500名职员。

步骤二:收集信息
在确认目标之后,我再次使用了自动化脚本对目标邮件架构进行信息收集。脚本首先确定了目标的MX记录。我们通过使用”*.mail.eo.outlook.com”对记录进行过滤,进而缩小对office 365的查找范围。

接下来,我们再一次使用暴力破解对目标邮件加密设备进行查找。为了要找到托管的程序,我们通过判断MX记录是否和目标域名相等来确定,如下图。

和第一次攻击方法一样,我们使用扫描器判断我们扫描到的主机25端口是否开启。

最后,为了证明会找到一个可用的邮箱是多么简单,我们只是对目标的公共域名进行whois查询,就可以得到有效邮箱。我们发现属于Karen Kedda的邮箱,并且我们通过google,找到了她的Linkedln名片,了解到她是目标公司的系统架构师。

步骤三:发送测试邮件
这一步骤和攻击一中作用完全一致,会了解到office365对邮件的设置。如下图,office365接受了我们的邮件。

邮件内容:

From: lzgr-at-maildx.com
To: test-mailbox-123-at-christianacare.org
Subject: Hello World
Message: Hello
Server: christianacare-org.mail.eo.outlook.com

因为我们填写的收件人是不存在的,所以我们会收到office365返回的”不可达”错误信息。你可以通过NDR清楚的看到office 365的EOP使用我们IP(80.82.x.x)对邮件入站威胁分析,以及病毒扫描。

步骤四:发送恶意电子邮件进行测试
与第一次步骤相同,这次恶意邮件同样被拦截了。

步骤五:进行拆分SMTP隧道攻击
已经确认Office365会对我们发送的恶意邮件进行拦截,那么我们现在测试拆分SMTP隧道攻击。我们对上述恶意邮件发送到目标托管的邮件加密设备,而不是EOP。然后目标托管的加密设备接受了我们发送的恶意邮件,然后进行加密,如下图:

所以我们攻击再次成功 :)

结论

现在网络攻击越来越频繁,并且攻击越来越复杂。在之前的文章中,我提到了2016年一年超过了40亿条信息遭到了泄漏,已经超过了前两年的总和。而且Experian的2017数据泄露行业预测,2017年网络攻击将持续上升,医疗保健是第一大目标。

原文发布时间为:2017年6月1日

本文作者:xnianq

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2024-10-30 04:22:24

有了邮件防火墙你就安全了吗?想法太单纯了……的相关文章

梭子鱼垃圾邮件防火墙力保TCL网络安全

TCL集团概况: TCL集团股份有限公司创办于1981年,是一家从事家电.信息.通讯.电工产品研发.生产及销售,集技.工.贸为一体的特大型国有控股企业.经过20年的发展,TCL集团现已形成了以王牌彩电为代表的家电.通讯.信息.电工四大产品系列.并开始实施以王牌彩电为龙头的音视频产品和以手机为代表的移动通信终端产品的发展来拉动企业增长的战略.二十年来,TCL发展的步伐迅速而稳健,特别是进入九十年代后,连续十二年以年均50%的速度增长,是全国增长最快的工业制造企业之一.公司一直以"研制最好的产品,提

反垃圾邮件防火墙与防毒墙

目前,计算机安全领域新的名词越来越多,防火墙,防毒墙--随着垃圾邮件越来越猖獗,美国最大的反垃圾邮件厂商博威特网络公司推出了梭子鱼垃圾邮件防火墙产品,这个产品不仅能够准确地阻断垃圾邮件,而且能够很好地实现邮件防毒墙的作用,同时还具有抵御攻击的能力,成为国际上最畅销的反垃圾邮件硬件产品.而这个产品与防火墙及防毒墙到底有何异同呢? 垃圾邮件防火墙 垃圾邮件防火墙,就是只对邮件数据包进行过滤的防火墙.它关心的只是邮件,只负责侦听25端口(SMTP协议也就是邮件协议的端口)的数据包.有些垃圾邮件防火墙还

反垃圾邮件防火墙的核心技术分析

垃圾邮件的来历和技术根源 SMTP协议本身是一个简化的邮件递交协议,缺乏很多必要的身份认证,这是SMTP协议造成垃圾邮件泛滥的原因之一.由于SMTP协议中,允许发信人伪造绝大多数的发信人特征信息,如:发信人.信件路由等,甚至在通过匿名转发.开放转发和开放代理等手段后,可以近乎完全的抹去垃圾邮件的发信人特征.目前,绝大多数的垃圾邮件都伪造了其真实的发信来源,这对于发现制止垃圾邮件的传播造成了很大的困难. SMTP协议还缺少一些必要的行为控制,不能有效的甄别正常的邮件发送和垃圾邮件发送行为,这是造成

谈垃圾邮件防火墙产品

电子邮件以便捷快速等特点成为人们日常交流必不可少的工具之一,但是我们每天接收到垃圾电子邮件远远超过正常邮件,垃圾邮件给我们带来很大的麻烦. 当一个网民打开电子邮箱,很可能在他收下的10封EMAIL里有8封是垃圾邮件.一位"反垃圾邮件联盟"的专家详细地阐述了这样一个现象:在南方浙江省的一个地区有一家生产塑料筷子的小厂,因为没有太多的钱做广告,于是就花几百块钱找一个服务器地址来狂发邮件,只要有1%的人感兴趣的话,效果就会和做电视广告差不多,但是花的钱却是连电视广告1%的费用都不到. 网络垃

泉峰国贸采用梭子鱼抵御垃圾邮件成功案例

项目概况: 泉峰国际贸易有限公司是中国最大的手提式电动设备OEM生产厂商和贸易商之一.年出口额达到1亿6千万美金;公司提供300多个产品,几乎覆盖了手提式电动工具所有的相关产品.所有产品均获国际认证,包括GS, EMC, UL, SAA和PSE.50名专业工程师采用Pro/E.UG和AUOCAD进行新产品的研发,每年可开发30-40种新产品,申请20-30项产品专利;产品远销欧洲.北美.澳大利亚和日本等世界各地. 泉峰国贸是个大型外贸企业,厂房占地面积45,000平方米,企业员工3,500余人.

选择反垃圾邮件产品应考虑几个方面

我们都知道,在网络安全中,垃圾邮件问题是非常普遍的问题.那么对于一个企业来说,垃圾邮件的干扰总是令人烦恼.那么我们在选择一件反垃圾邮件产品的时候,应该注意一些什么呢?垃圾邮件产品的面世在一定程度上解决了企业垃圾邮件威胁企业网络安全的问题,就在企业纷纷拿出预算准备购置反垃圾邮件产品的同时,问题又出现了.究竟什么样的产品才是一个优秀的产品,购买之后才能够足以应对企业面临的安全问题呢? 评估反垃圾邮件产品成熟性: 垃圾邮件过滤已从简单的关键字搜索和域阻挡发展到全面.综合的检测机制.许多解决方案采用先进

邮件服务器-有个关于邮件的问题,请大家帮忙看看!

问题描述 有个关于邮件的问题,请大家帮忙看看! 最近查看梭子鱼邮件防火墙日志发现有部分邮件的发件人和收件人都不属于域内成员,然后有个疑问,为什么这样的邮件会发到我的邮件服务器上?

掌握反垃圾邮件“秘笈”治标又治本

中介交易 SEO诊断 淘宝客 云主机 技术大厅 从互联网诞生之日起,似乎就与垃圾邮件有了"不解之缘".中国仅次美国之后,是全球第二大垃圾邮件受害国,其危害举不胜举.垃圾邮件以其数量多.反复性.强制性.欺骗性.不健康性和传播速度快等特点,占用大量传输.存储和运算资源,造成邮件服务器拥堵,严重影响正常的邮件服务. 垃圾邮件忍无可忍 防御骚扰已成共识 自从垃圾邮件在我国大规模蔓延以来,网民好像就被拖进了一场看不见对手的较量中,各种各样的广告.花边新闻等总是能通过层层防护,钻进我们的邮箱.据美

Exchange2003邮件延迟

问题描述 我的EXCHANGE2003邮件延迟,这个现像只是其它公司的域名,发给yahoo.com.cnsina.comQQ.com都是可以的,一分钟就可以收到了,下面是问题信息,这是自动生成的传递状态通知.这只是警告信息.重新发送邮件.传递到下列收件人的操作已被延迟.说下环境:只有一台服务器,用win2003的系统,所有的邮件软件全部装在一台机器上面的,内部邮件正常,不知道是什么问题?请高手指点,谢谢! 解决方案 解决方案二:这个问题多数不是Exchange本身问题,既然信能出去,服务器的功能