睿眼 · 邮件攻击溯源系统
专注于“高级邮件攻击”的监测与溯源
中睿天下 - 睿眼邮件攻击溯源系统.pdf
产品概述
睿眼·邮件攻击溯源系统(以下简称睿眼·邮件)基于攻击者视角研发,整合反恶意攻击、反垃圾邮件、病毒检测、敏感信息智能检测、情报分析、取证分析及攻击溯源等功能,可有效监测APT、社工钓鱼、URL钓鱼、账号受控、弱口令、账号暴破、商业欺诈、未知漏洞利用、病毒木马蠕虫等邮件攻击,并快速追溯事件来龙去脉,弥补传统邮件防护体系的不足。
核心功能
邮件多维多模检测
根据邮件的通信和接收过程分为通信过程检测、邮件头检测、内容检测、网址检测、附件检测五大检测模块,模块间采用串并相结合、节点缓存、多标记树形检测的方式进行检测。每个检测模块少则十几项,多则数十项检测项目,检测项目根据每封邮件状态智能选择是否检测。这样既能提高检测效率和准确率,也能在某一时段邮件量激增时避免某些邮件漏检。
文本意图分析检测
通过提取邮件正文和主题特征,采用异常文件结构识别技术和语义意图分析技术对邮件正文结构及内容进行大数据建模,进一步对样本的文件、正文内容、结构与正常文件结构的偏离进行深度欺骗意图分析,从而在不依赖漏洞及链接分析的情况下,识别恶意文件和正文,有效解决ATO、BEC攻击中邮件正文链接0day漏洞检测及高级加密混淆漏洞利用攻击检测等难题。
链接跟踪检测
对邮件正文、主题、附件中出现的链接进行跟踪,提取邮件内网站链接、IP类型链接中域名的注册时间、指向页面特征、Html特征语言,利用以“黑记录库”为核心的链接静态检测技术,识别静态下载、跳转站点等攻击手段,利用链接背景溯源技术,反查链接的注册信息,结合威胁历史记录识别攻击行为,利用“拟点击”链接动态检测技术,对页面代码、页面内容及页面目的进行检测,解决钓鱼网站、仿冒网站、跨站跳转、一次性域名等APT高级邮件攻击手段。
反逃逸附件检测
除了针对性地检测APT邮件攻击附件中常见的脚本、文档、可执行文件等可能携带的0day漏洞、1day漏洞外,结合基于机器学习的加密混淆识别模型和沙箱中的行为检测结果识别脚本类木马,结合基于文档格式异常加墨、宏异常建模、恶意ole对象异常等的异常格式文档数据模型和沙箱中的行为检测结果检测Office 、Pdf文档类的恶意行为,基于字符串、导入表、编译信息、资源图标、PE其他结构(包括DEP/NX /ASLR)深度分析等方法对PE文件综合打分并结合沙箱反逃避技术,检测PE文件逃避类木马。
异常账号行为检测
以攻击者视角为导向,深入研究邮件账号行为路径,通过建立邮件账号日常登录、收发件等行为模型识别邮件账号异常,关联分析邮件攻击行为并总结规律,进行威胁建模检测账号风险,同时对整个攻击过程进行全程记录,有效识别密码爆破、黑客撞库、异常登录、内网渗透等账号异常行为。此外基于密码字典和密码强度算法的检测模型,可有效发现弱口令。
邮件关联和溯源分析
结合各种信誉库分析邮件头、域名、附件、攻击工具、攻击手法、动态行为分析等一切可掌握数据,再通过联动云端威胁情报共享中心的黑客指纹档案,对攻击来源、攻击目的、攻击路径进行溯源分析,进而了解攻击事件的详细过程,包括攻击起止时间、攻击工具、使用的邮箱服务器、发信账号数量、受攻击影响的受害人范围等,通过对安全事件进行全面溯源,可在发现攻击后,快速回溯威胁传播路径,定位攻击源。
🙋♀️动态行为分析
具有对抗反调试、反沙箱、反虚拟机技术的能力,对存在安装包、钓鱼等交互页面的样本,可模拟用户点击按钮、移动鼠标和输入,触发样本的恶意行为;
对于Office文档,可去混淆并提取恶意宏;
对于可执行文件,可分析节表、资源、导入表等,并提取字符串;
支持Virustotal在线搜索hash;
支持提取命令行和脚本;
Yara规则匹配等;
通过用户层和驱动层的Hook技术,对样本的操作文件、注册表、网络、内存、进程等动态行为进行监控。
优势特色
从攻击者视角出发进行追踪溯源,结合信誉库分析邮件头、域名、攻击工具、攻击手法等数据,联动云端威胁情报共享中心的黑客指纹档案,对攻击来源、攻击目的、攻击路径进行溯源分析,具备实时监测邮件安全、快速定位攻击源、回溯威胁传播路径的能力,帮助用户掌握攻击者意图,快速应急响应。
威胁情报分析模块根据历史安全事件并结合信誉库、黑客指纹库档案、云端威胁情报共享中心,对安全事件进行大数据安全分析,形成攻击事件威胁报告、内部人员泄密事件报告及攻击趋势研判报告等。
通过发现潜在的邮件威胁和高隐蔽性的入侵手段,并回溯攻击历史,建立以“检测->分析->响应->预测->防御”为核心的邮件安全监测处置流程,同时跳出单封邮件检测的思路,将单封恶意邮件的对抗升级为邮件攻击事件的对抗,宏观感知企业遭受的邮件攻击态势,并将最新的邮件安全态势与威胁预警可视化展示给用户,实现邮件安全可视。
多层检测引擎
自主研发的多层检测引擎,检测类型分为4个一级类、26个二级类、112个三级类、1000多个四级类,包含千余种邮件攻击检测模型,采集邮件中文本、链接、附件、邮件头、邮件登录会话等数据,利用机器学习从语义、意图、行为、情报、溯源等方面进行分析。同时采用自主研发的RealeyeAV木马检测引擎及高级启发式沙箱检测模型,检测精准度更高,检测效果更好。
睿眼·邮件设计了多维度的实时统计报表,全局动态报告直观展示指定时间段内系统的安全态势,报表内容包括威胁摘要、通讯统计、威胁特征、地区分布、方向分布、协议分布、威胁趋势等。
应用场景
识别弱口令、账号暴破等账号攻击,防止邮箱被控
获取可信邮箱账号是邮件攻击黑色产业链的重要环节,同时也是APT攻击的重要手段。
对攻击者来说,使用受控的可信账号可大大增加邮件钓鱼的命中率。
而对政企用户来说,邮箱被控对外发送大量营销、钓鱼邮件,会造成关键信息泄露和商誉损失。
通过对流量中邮件登陆会话和内容进行分析,睿眼·邮件可实现对相关账号的登陆频次、地点、收件频次、发件频次、口令强度的监控,同时基于个体历史登陆行为基线或同权人员登陆行为基线,侦测发现弱口令、账号暴破、异常登录、异地登录等。
发现隐蔽、复杂的APT攻击邮件
境外间谍情报机关高度重视通过网络对我国实施技术窃密和情报搜集活动,很多党政机关、事业单位、国有企业等普遍使用的邮件系统,成为他们攻击的重点目标。
APT攻击手段具有持续性、复合性、社工性、隐蔽性等特点。
睿眼·邮件结合邮件环境并站在攻击者视角对攻击手法进行建模,可有效检测隐蔽、复杂的APT攻击邮件,实现对关键信息基础设施运营单位的邮件威胁监测与预警,并助力重点单位实现对自身邮件安全的态势感知等,有效防范打击境内外不法分子利用邮件发起的网络攻击窃密等行为。
识别精心伪装的鱼叉式钓鱼邮件
鱼叉式钓鱼邮件是攻击者针对特定目标,利用社会工程学广泛收集相关信息,并在周密筹划后定向发送精心伪装的针对性邮件。为达到钓鱼目的,攻击者会选择性地对邮件头、邮件正文、链接、附件威胁载体等进行伪装,具有高隐蔽性据此规律。
睿眼·邮件结合攻击手法与语义智能分析综合建模,可有效检测鱼叉式钓鱼邮件,满足用户对电子邮件更高的安全需求。
发现0day等未知漏洞利用攻击
近年来,应用广泛的基础软硬件不断被曝存在严重的安全漏洞,漏洞修复速度远远滞后于漏洞利用速度,此外还有大量未公开的零日漏洞。
从攻击者视角出发,结合邮件业务环境,基于采用树形检测逻辑自主研发数十个检测分析引擎,并利用机器学习检测、语义智能分析、大数据分析等技术对攻击手段进行精细化建模,睿眼·邮件具备在不联网的情况下识别未知漏洞攻击的能力。
重保期间避免邮件成为攻击入口
“网络攻击中有91%都将电子邮件作为攻击入口”。
重大节假日、重要会议活动、实战攻防演练等关键时期,坚决不能让邮件成为攻击者的突破口。
睿眼·邮件站在攻击者视角自主研发数十个精细化的检测引擎,检测范围覆盖邮件通信的整个生命周期,包含账号、邮件中可能出现的各个威胁点,同时采用图库、沙箱等多种关联分析技术,对攻击者进行深度画像,可更有效地识别APT、弱口令、钓鱼等高威胁邮件,防范攻击者利用邮件获得攻击入口。
邮件威胁监督管理
部署睿眼·邮件实现对海量收发邮件的威胁监测与溯源,同时通过不定期将历史邮件数据导入睿眼·邮件,实现对重要人员的邮件安全检查。
项目背景
在信息网络技术广泛应用的今天,境外间谍情报机关为获取我国政治、经济、军事、科技等方面的情报,通过网络多轮次、大规模、有针对性地对重点单位开展窃密活动。
在实际监管过程中面临三大难题:
海量邮件处理(考验处理性能);
发现潜藏邮件攻击(考验发现能力);
深度溯源分析(考验溯源分析能力)。
项目简介
针对黑客组织极可能发起网络攻击的单位,如党政机关、关键信息基础设施、科研院所等,在邮件网络出口位置旁路部睿眼·邮件,通过流量镜像对海量邮件进行实时威胁监测与溯源。
同时,不定期将历史邮件数据导入睿眼·邮件,对重要单位可能遭受APT攻击的人员进行邮件安全检查,检测发现潜藏的邮件攻击。
项目价值
通过部署睿眼·邮件,实现APT钓鱼邮件的快速高效识别,检测速度更快(处理速度可达到每天70万封)、威胁检出率更高(具备所有常见邮件攻击类型检测能力),深度检测识别大量钓鱼邮件,包括发件人伪造、邮件内容欺诈、钓鱼链接、恶意附件等多种钓鱼类型,发现多起邮箱被控发起的定向攻击事件、多起邮件转发异常的网络攻击窃密事件,并对攻击者背景等进行自动分析溯源。