“海蓮花”利用釣魚郵件發起針對性攻擊，如何透過郵件過濾機制對抗入侵？

近期，境外APT攻擊組織 “海蓮花（OceanLotus）” 持續利用網易的免費郵箱對我國政府機關與重要行業領域進行有組織、有計劃、有針對性的長時間不間斷攻擊。駭客主要利用【2019年5月標準幹部培訓課程通知】這類極具迷惑性的內容作為郵件主題和附件，向攻擊目標傳送魚叉式釣魚郵件。只要郵件接收者開啟附件，主機將被攻擊者完全掌控！

根據守內安與ASRC垃圾資訊研究中心 （Asia Spam-message Research Center） 的觀察，海蓮花的攻擊前奏主要透過傳送帶有可觸發 CVE-2017-11882 方程式漏洞的惡意文件來發動，一旦文件被開啟，不需要使用者再配合執行其他動作，漏洞便會觸發執行惡意程式，攻擊者便可取得受感染電腦的控制權，藉以發動其他惡意攻擊。

守內安 SPAM SQR 郵件安全閘道器搭配 ADM ( Advanced Defense Module ) 高階防禦模組，已可攔截利用CVE-2017-11882 方程式漏洞的文件攻擊。

不僅“海蓮花”這類 APT 攻擊事件，其他讓企業損失慘重的資訊保安事件，例如 BEC金融詐騙、勒索軟體等，也都是由一封釣魚郵件開始，駭客透過高度偽裝的釣魚郵件，搭配社交工程手法對目標發動攻擊。這類釣魚郵件極具迷惑性且手法高超，讓人難以用肉眼分辨，光是靠教育使用者小心謹慎防範釣魚郵件是絕對不夠的，尤其是對於沒有IT背景、沒有程式技術的使用者而言，要他們對所有收到的郵件或資訊都保持高度謹慎的態度來檢驗，不僅不切實際，弄得人心惶惶，還可能產生不少困擾與問題。企業應設法提供使用者安全的郵件使用環境，只要能夠做好電子郵件安全防禦，資訊保安防護工作便做好了一大半。

為了協助企業打造更安全的電子郵件環境，守內安SPAM SQR 郵件安全閘道器以多層過濾機制對抗新型態攻擊入侵，提供企業全方位郵件過濾機制，不僅可以攔截垃圾郵件，亦能防禦各式釣魚與惡意威脅郵件。

SPAM SQR 針對新型態攻擊郵件的防護有下列特色：

1. 惡意滲透分析，郵件及附件惡意連結全防禦

透過雲端差分更新技術，快速更新惡意網址資料庫。且可針對郵件內容及附件內容進行掃描，更全面防禦釣魚等惡意郵件。

2. 置換可疑連結，避免使用者好奇或誤點選風險

將可疑郵件的連結置換掉，避免使用者在檢視攔截郵件時，因為好奇點選或操作時誤點選惡意連結，導致被植入木馬或下載惡意文件的風險。

3. 防禦詐騙郵件，內發示警外發防偽

智慧型詐騙郵件行為特徵檢測，可針對匯款詐騙、冒名偽造網域的社交郵件防禦等做到郵件警示，當郵件放行到使用者端時，可提醒使用者提高警惕。此機制不會因為白名單設定不正確而影響判斷結果，管理員只需要倡導收到類似郵件警示，需做確認，即可降低詐騙郵件入侵的風險。待發郵件則可約定往來郵件的驗證機制，如 SPF， DKIM， DMARC，降低被偽造冒名的機會。

圖1：匯款詐騙、冒名偽造網域等郵件設定郵件警示

4. 威脅統計報表與社交工程防禦機制，指出內部高風險族群

一般使用者資訊保安意識較薄弱的情況下，很容易因為好奇而開啟來路不明的郵件。透過SPAM SQR 社交工程防禦機制與統計報表，從日常往來郵件，管理員便可瞭解內部使用者的資訊保安意識強弱，指出哪些人為高風險族群，作為企業資訊保安教育的依據。

而威脅統計報表，結合各種威脅指標資訊彙總於單一報表之中，方便管理員瞭解內部賬號的風險情況，如SMTP IP認證異常、APT攻擊目標以及亂髮郵件等異常情況皆可在報表中顯示。

圖2 ：威脅統計報表 -威脅指標資訊彙總於單一報表中，方便了解內部賬號的風險情況

威脅指標排行 -列為高風險族群，企業可將這類族群列入內部安全防護強化重點人員。

5. 靜態特徵聯合動態沙盒分析，抵禦已知與未知威脅

SPAM SQR 的多層次過濾技術，結合了防毒特徵碼、惡意網址資料庫、行為模擬防禦、深層程式程式碼靜態特徵掃描及動態沙盒等分析。可先行分類垃圾郵件及可疑威脅郵件，再將特定格式附件拆離傳送至沙盒進行比對，於虛擬平臺進行程式分析。透過深度模擬和沙盒分析，將資訊揭露並回傳統一整合於 SPAM SQR，風險一目瞭然且更易於追蹤管理。

關於守內安 SPAM SQR與ADM 高階防禦模組

SPAM SQR 內建多種引擎（惡意檔案分析引擎、威脅感知引擎、智慧詐騙引擎）、惡意網址資料庫，並可整合防毒與動態沙盒等機制，以多層式的執行過濾方式，對抗惡意威脅郵件的入侵。

SPAM SQR ADM （ Advanced Defense Module ） 高階防禦模組，可防禦魚叉式攻擊、APT 等新型進階攻擊手法郵件。研究團隊經長時間的追蹤駭客攻擊行為，模擬產出靜態特徵。程式自動解封裝檔案進行掃描，可發掘潛在程式碼、隱藏的邏輯路徑及反組譯程式程式碼，以利進行進階惡意軟體分析比對。可提高攔截夾帶零時差 （Zero-day） 惡意軟體、APT 攻擊工具及含有檔案漏洞的攻擊附件等攻擊手法郵件的能力。