近年来,全球范围内不少知名企业遭受到了大规模持续性的网络攻击,网络安全事件不曾停歇,此次不幸中招的是来自瑞典的知名家具零售商宜家。

据近期BleepingComputer、HotHardware等报道:宜家企业内部邮件系统正在遭受钓鱼网络攻击,宜家供应商和商业合作伙伴也受到了同样的攻击 ,并进一步向宜家内部人员传播恶意电子邮件。

攻击的来源

黑客/攻击者利用ProxyShell和ProxyLogin的漏洞,以钓鱼邮件的方式攻击宜家的Microsoft Exchange服务器。一旦他们获得对服务器的访问权限,他们就会使用内部Microsoft Exchange服务器对窃取来的员工电子邮件进行攻击。由于电子邮件是来自公司的合法电子邮件,邮件中嵌入的恶意文件链接,收件人如果点开链接,收件人的设备上将被安装上恶意软件。  


攻击路径分析

通过上述分析,我们发现此次宜家家居遭受到网络攻击有两种可能,一是钓鱼邮件攻击。

钓鱼邮件攻击是攻击者利用了邮件作为主要通道,通过在邮件中嵌入恶链的方式进行了攻击。恶意邮件通常是从失陷的电子邮件帐户或内部服务器发送的,所以会被收件人默认为可信邮件,因此攻击很难被察觉和判别。这次攻击事件,为邮件安全防护敲响了警钟,对内部信任提出更新的要求。

此外,在钓鱼邮件攻击的基础上,这种持续性的行为看到了很明显的APT攻击的影子。

APT(高级持续性威胁)指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。

我们看一下APT攻击的常用步骤:

由于此次攻击者用ProxyShell和ProxyLogin漏洞攻击向内部服务器发起持续性攻击,所以我们判断此次攻击为APT攻击的可能性很高。  

应对方案

针对邮件钓鱼攻击,天空卫士的增强型邮件安全网关(ASEG)可以完美应对。

01-增强型邮件安全网关(ASEG)  

ASEG提供反垃圾邮件、反恶意邮件(病毒、木马、恶意脚本等)、邮件恶链防护、邮件代理认证、邮件归档、邮件反查审计、邮件审核流、综合数据防泄露深层次内容分析等功能,可以对企业入站、出站、内部的邮件进行全方位的安全防护。

ASEG的恶链检测技术可以检测电子邮件中嵌入的 URL 是否有恶意风险,对包含的恶意 URL 的邮件提供 URL 替换、删除、隔离等。通过本地与云端实时 URL 查询技术,实时查询邮件里嵌入的 URL 分类,可以针对 URL 类别进行保护,防止恶意邮件、恶链邮件、钓鱼邮件等隐蔽的电子邮件威胁。

ASEG作为 SecGator 产品系列解决方案的一部分,可以做到跨时间、跨空间、跨各种计算平台有效防范钓鱼攻击。

市场对ASEG的认可

天空卫士ASEG产品是亚太地区唯一入选2020年Gartner ESG邮件安全网关的产品。

2020年12月27日 中国信息协会信息安全专业委员会对外发布了《邮件安全网关产品对比》测试报告。

在报告中描述:

天空卫士邮件安全网关作为邮件安全网关领域的新兵,在满足邮件安全防护基本功能的基础上,结合目前市场及Gartner对于新的邮件安全网关的需求,加强了对于邮件内容的检测能力,包括邮件中包含的恶意连接、外发邮件的数据内容等,同时为了满足国内客户的审计、管理需求,额外增加了审批外发、邮件回溯等能力,为企业实现整体的邮件安全提供了非常便利的途径和手段。
02-基于内容的APT防护体系  

ITP通过行为分析,及时发现企业内部有高风险行为或不良意图的用户并进行实时安全控制,提高对恶意动作的捕获率,降低误报率,帮助用户将安全威胁事件扼杀在萌芽阶段。 
 

我们还可以做到:


  • 识别企业或组织内部的异常行为用户;

  • 对企业或组织已知的安全风险同类行为的用户或设备进行回溯;

  • 数据泄密风险预测:识别离职员工泄密风险,研发数据泄密风险;

  • 识别APT攻击,根据安全领域的专家经验,构建不同的网络攻击、数据泄密等安全威胁场景,即ERS模型,可以对不同的网络攻击、数据泄密等安全威胁场景进行预测。

    目前已实现了39个ERS模型,156个异常因子。

    攻击行为相关的模型

    信息泄露行为相关模型

    感染病毒、木马、恶意代码相关的模型    

    异常行为、可疑行为相关的模型  

    APT攻击由来已久,不是某一个产品或者一项技术能解决的,必须要做持久的对抗。天空卫士在成都设有专业的安全实验室。安全实验室的安全专家有着丰富的一线网络对抗经验,针对APT攻击中出现的技术、战术手段进行持续研究跟踪,相关研究成果将不断添加到天空卫士ITM产品的异常检测模型中,使天空卫士ITP体系能保持对各种新型APT攻击技术的检测。


    天空卫士作为内容安全领域的领导者,在深层次内容解析的基础上,不断增强对动态威胁的防护能力,致力于提供不间断的威胁检测和攻击防御,凭借准确和实时的数据分析,提供高效而及时的安全措施,能够检测、预防并清除多种威胁和攻击行为,有效防范企业数据破坏和窃取。