近年来,全球范围内不少知名企业遭受到了大规模持续性的网络攻击,网络安全事件不曾停歇,此次不幸中招的是来自瑞典的知名家具零售商宜家。
据近期BleepingComputer、HotHardware等报道:宜家企业内部邮件系统正在遭受钓鱼网络攻击,宜家供应商和商业合作伙伴也受到了同样的攻击 ,并进一步向宜家内部人员传播恶意电子邮件。
攻击的来源
黑客/攻击者利用ProxyShell和ProxyLogin的漏洞,以钓鱼邮件的方式攻击宜家的Microsoft Exchange服务器。一旦他们获得对服务器的访问权限,他们就会使用内部Microsoft Exchange服务器对窃取来的员工电子邮件进行攻击。由于电子邮件是来自公司的合法电子邮件,邮件中嵌入的恶意文件链接,收件人如果点开链接,收件人的设备上将被安装上恶意软件。
攻击路径分析
通过上述分析,我们发现此次宜家家居遭受到网络攻击有两种可能,一是钓鱼邮件攻击。
钓鱼邮件攻击是攻击者利用了邮件作为主要通道,通过在邮件中嵌入恶链的方式进行了攻击。恶意邮件通常是从失陷的电子邮件帐户或内部服务器发送的,所以会被收件人默认为可信邮件,因此攻击很难被察觉和判别。这次攻击事件,为邮件安全防护敲响了警钟,对内部信任提出更新的要求。
此外,在钓鱼邮件攻击的基础上,这种持续性的行为看到了很明显的APT攻击的影子。
APT(高级持续性威胁)指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
我们看一下APT攻击的常用步骤:
由于此次攻击者用ProxyShell和ProxyLogin漏洞攻击向内部服务器发起持续性攻击,所以我们判断此次攻击为APT攻击的可能性很高。
应对方案
针对邮件钓鱼攻击,天空卫士的增强型邮件安全网关(ASEG)可以完美应对。
01-增强型邮件安全网关(ASEG)
ASEG提供反垃圾邮件、反恶意邮件(病毒、木马、恶意脚本等)、邮件恶链防护、邮件代理认证、邮件归档、邮件反查审计、邮件审核流、综合数据防泄露深层次内容分析等功能,可以对企业入站、出站、内部的邮件进行全方位的安全防护。
ASEG的恶链检测技术可以检测电子邮件中嵌入的 URL 是否有恶意风险,对包含的恶意 URL 的邮件提供 URL 替换、删除、隔离等。通过本地与云端实时 URL 查询技术,实时查询邮件里嵌入的 URL 分类,可以针对 URL 类别进行保护,防止恶意邮件、恶链邮件、钓鱼邮件等隐蔽的电子邮件威胁。
ASEG作为 SecGator 产品系列解决方案的一部分,可以做到跨时间、跨空间、跨各种计算平台有效防范钓鱼攻击。
市场对ASEG的认可
天空卫士ASEG产品是亚太地区唯一入选2020年Gartner ESG邮件安全网关的产品。
2020年12月27日 中国信息协会信息安全专业委员会对外发布了《邮件安全网关产品对比》测试报告。
在报告中描述:
天空卫士邮件安全网关作为邮件安全网关领域的新兵,在满足邮件安全防护基本功能的基础上,结合目前市场及Gartner对于新的邮件安全网关的需求,加强了对于邮件内容的检测能力,包括邮件中包含的恶意连接、外发邮件的数据内容等,同时为了满足国内客户的审计、管理需求,额外增加了审批外发、邮件回溯等能力,为企业实现整体的邮件安全提供了非常便利的途径和手段。
02-基于内容的APT防护体系 
