加強(qiáng)電子郵件安全的防范措施之郵件木馬技術(shù)
郵件安全隱患分析
1、軟件隱患
完美無(wú)缺的軟件目前還沒(méi)有,任何軟件都存在缺陷,只是這種缺陷的危害程度大小不一樣,提供郵件服務(wù)的郵件服務(wù)器以及接收郵件的客戶(hù)端軟件都存在或多或少的缺陷。
(1)郵件軟件自身存在缺陷
到目前為止,市面上提供的郵件服務(wù)器軟件、郵件客戶(hù)端以及Web Mail服務(wù)器都存在過(guò)安全漏洞。QQ郵箱讀取其他用戶(hù)郵件漏洞、Elm 泄露任意郵件漏洞、Mail Security for Domino郵件中繼漏洞、The Bat !口令保護(hù)被繞過(guò)漏洞、Outlook Express標(biāo)識(shí)不安全漏洞、263快信WinBox漏洞、Foxmail口令繞過(guò)漏洞等等。
入侵者在控制存在這些漏洞的計(jì)算機(jī)后,可以輕易獲取Email地址以及相對(duì)應(yīng)的用戶(hù)名與密碼,如果存在Email通訊錄,還可以獲取與其聯(lián)系的其他人的Email地址信息等。還有一些郵件客戶(hù)端漏洞,入侵者可以通過(guò)構(gòu)造特殊格式郵件,在郵件中植入木馬程序,只要沒(méi)有打補(bǔ)丁,用戶(hù)一打開(kāi)郵件,就會(huì)執(zhí)行木馬程序,安全風(fēng)險(xiǎn)極高。
(2)郵件服務(wù)器端軟件和客戶(hù)端軟件配置問(wèn)題
郵件服務(wù)器軟件和客戶(hù)端軟件也會(huì)出現(xiàn)因?yàn)榕渲貌划?dāng),而產(chǎn)生較高安全風(fēng)險(xiǎn)。很多管理員由于郵件服務(wù)器配置不熟悉,搭建郵件服務(wù)器平臺(tái)時(shí),僅僅考慮夠用或者能夠使用,而未考慮到應(yīng)該安全可靠的使用,在配置時(shí)僅僅設(shè)置為可使用,未對(duì)其進(jìn)行郵箱安全滲透測(cè)試,因此安全風(fēng)險(xiǎn)也極大。
2、電子郵件木馬隱患
一封正常的郵件,無(wú)論用戶(hù)怎么操作,都是安全的;而安全風(fēng)險(xiǎn)往往來(lái)自非正常郵件,目前郵件攻擊結(jié)合社會(huì)工程學(xué)方法,發(fā)送的郵件在表面上跟正常郵件沒(méi)有多大區(qū)別,不容易甄別。這些郵件常常采用以下方式。
(1)網(wǎng)頁(yè)木馬,郵件格式為網(wǎng)頁(yè)文件,查看郵件只能以html格式打開(kāi),這些網(wǎng)頁(yè)主要利用IE等漏洞,當(dāng)打開(kāi)這些郵件時(shí),會(huì)到制定地址下載木馬程序并在后臺(tái)執(zhí)行。
(2)應(yīng)用軟件安全漏洞木馬,這些郵件往往包含一個(gè)附件,附件可能是exe文件類(lèi)型,也可能是doc、pdf、xls、ppt等文件類(lèi)型,入侵者通過(guò)構(gòu)造特殊的格式,將木馬軟件捆綁在文件或者軟件中,當(dāng)用戶(hù)打開(kāi)這些文件時(shí),就會(huì)直接執(zhí)行木馬程序。還有一種更加隱蔽,將木馬軟件替換為下載者,下載者就是一個(gè)到指定站點(diǎn)下載木馬軟件,其本身不是病毒軟件;用戶(hù)查看文件時(shí),首先執(zhí)行下載者,下載者然后再去下載木馬軟件并執(zhí)行,殺毒軟件將視下載者為正常軟件,不會(huì)進(jìn)行查殺。這種方式隱蔽性好,木馬存活率,安全風(fēng)險(xiǎn)極高。
(3)信息泄露隱患,用戶(hù)在注冊(cè)BBS論壇、Blog以及一些公司的相關(guān)服務(wù)中,都要求提供Email地址等相關(guān)信息,有些公司和個(gè)人為了商業(yè)目的會(huì)將郵件地址等進(jìn)行出售來(lái)獲利,這些個(gè)人信息泄露將會(huì)帶來(lái)安全隱患;還有一種情況,就是個(gè)人注冊(cè)信息在網(wǎng)絡(luò)上沒(méi)有得到屏蔽,任何用戶(hù)都可以查看和搜索,通過(guò)Google等搜索引擎可以獲取較為詳盡的資料信息,危害極高。
3、系統(tǒng)安全隱患
系統(tǒng)安全隱患的范圍比較大,系統(tǒng)在安裝過(guò)程、配置以及后期使用過(guò)程中由于使用不當(dāng),都有可能造成安全隱患;例如下載并執(zhí)行未經(jīng)安全檢查的軟件,系統(tǒng)存在未公開(kāi)的漏洞等,這些安全隱患風(fēng)險(xiǎn)極高,且不容易防止,往往只能通過(guò)規(guī)范培訓(xùn),加強(qiáng)制度管理等來(lái)降低風(fēng)險(xiǎn)。
郵件木馬技術(shù)
1、網(wǎng)頁(yè)木馬技術(shù)
網(wǎng)頁(yè)木馬是最近幾年比較流行的一種木馬技術(shù),其原理就是利用IE本身或Windows組件的漏洞(一般為緩沖區(qū)溢出)來(lái)執(zhí)行任意命令(網(wǎng)頁(yè)木馬即執(zhí)行下載木馬和隱藏執(zhí)行命令),一般常見(jiàn)的漏洞多產(chǎn)生于IE,畸形文件(如畸形的ANI,word文檔等,IE會(huì)自動(dòng)調(diào)用默認(rèn)關(guān)聯(lián)打開(kāi),導(dǎo)致溢出),程序組件(用java調(diào)用帶有漏洞的組件來(lái)執(zhí)行命令),其核心代碼主要是利用vbs腳本下載木馬程序并執(zhí)行。早期的網(wǎng)頁(yè)木馬主要有兩個(gè)文件,一個(gè)為html網(wǎng)頁(yè)文件,另外一個(gè)為木馬文件。
如果瀏覽者的操作系統(tǒng)中存在漏洞,在訪(fǎng)問(wèn)網(wǎng)頁(yè)文件時(shí)便會(huì)自動(dòng)執(zhí)行木馬程序。由于殺毒軟件的查殺,后期的網(wǎng)頁(yè)木馬開(kāi)始利用框架網(wǎng)頁(yè),例如,將框架網(wǎng)頁(yè)嵌入在正常網(wǎng)頁(yè)中,由于框架網(wǎng)頁(yè)的寬度和高度均為0,所以在網(wǎng)頁(yè)中不會(huì)有視覺(jué)上的異常,不容易被察覺(jué)。后面陸續(xù)出現(xiàn)利用JavaScript、JavaScript變形加密、css、Java、圖片偽裝等多種方式將框架網(wǎng)頁(yè)代碼進(jìn)行轉(zhuǎn)換變形等處理,使其更難被發(fā)現(xiàn)和被殺毒軟件查殺。
入侵者一方面在個(gè)人網(wǎng)站、商業(yè)網(wǎng)站以及門(mén)戶(hù)網(wǎng)站等上面放置網(wǎng)頁(yè)木馬,控制個(gè)人計(jì)算機(jī)、盜取個(gè)人賬號(hào)、出售流量等來(lái)牟取商業(yè)利益;另外還將這些網(wǎng)頁(yè)木馬制作成網(wǎng)頁(yè)文件,大量發(fā)送垃圾郵件,如果接收者一不小心打開(kāi)了網(wǎng)頁(yè)文件,計(jì)算機(jī)將會(huì)感染和傳播木馬病毒,安全風(fēng)險(xiǎn)極高。
2、文件捆綁技術(shù)
文件捆綁的核心原理就是將b.exe附加到a.exe的末尾,當(dāng)a.exe被執(zhí)行的時(shí)候,b.exe也跟著執(zhí)行了。早期的文件捆綁技術(shù)比較簡(jiǎn)單,文件捆綁器比較容易被查殺,后面逐漸出現(xiàn)通過(guò)利用資源來(lái)進(jìn)行文件捆綁,在PE文件中的資源可以是任意的數(shù)據(jù),將木馬程序放入資源中,執(zhí)行正常程序后再釋放木馬程序。
在郵件木馬中,捆綁木馬攻擊是最常見(jiàn)的一種攻擊方式,比較直接,只要打開(kāi)郵件中的捆綁的文件,則會(huì)執(zhí)行木馬程序。常見(jiàn)以下幾種捆綁文件類(lèi)型:
(1)應(yīng)用程序安裝文件。這類(lèi)可執(zhí)行文件往往偽裝成一個(gè)setup圖標(biāo)的安裝文件。
(2)Ebook電子圖書(shū)文件。Ebook電子圖書(shū)是一種可執(zhí)行的文件,這類(lèi)文件是將html等文件通過(guò)編譯生成一個(gè)可執(zhí)行文件。
(3)Flash文件。Flash文件有兩種類(lèi)型,一種是可執(zhí)行的flash文件,直接運(yùn)行就可以觀看flash;另外一種是以.swf結(jié)尾的文件,需要單獨(dú)的Flash播放軟件播放。
文件捆綁的核心就是將一個(gè)正常的文件跟木馬文件捆綁,捆綁時(shí)會(huì)修改文件圖標(biāo),以假亂真,誘使用戶(hù)打開(kāi)這類(lèi)文件,達(dá)到控制計(jì)算機(jī)或者傳播病毒的目的。
3、應(yīng)用軟件漏洞利用技術(shù)
利用應(yīng)用軟件漏洞而制作的木馬程序,很難識(shí)別,危害最高。Office軟件中的Word、PowerPoint、Excel,Adobe Reader,超星圖書(shū)瀏覽器等都出現(xiàn)過(guò)高危安全漏洞,在日常辦公中這些文件被廣泛使用,利用應(yīng)用軟件的漏洞制作的木馬,跟正常文件沒(méi)有什么區(qū)別,當(dāng)用戶(hù)打開(kāi)時(shí),會(huì)執(zhí)行木馬程序和打開(kāi)正常的文件。
入侵者往往利用應(yīng)用軟件漏洞來(lái)制作木馬,將這些看似正常的文件通過(guò)郵件發(fā)送給被攻擊者,被攻擊者一旦打開(kāi)郵件中的文件,感染木馬病毒的幾率非常高。
【編輯推薦】
