警惕新型恶意软件侵入邮箱

如果你在使用微软的Exchange Online,不管是独立的产品还是只是Office 365租户的一部分功能,任何入站的邮件都会经过Exchange Online Protection的过滤。EOP是微软在云端部署的大量前端服务器用以拦截并移除垃圾邮件在它们到达用户邮箱之前。当然使用内部部署的Exchange企业也可以购买EOP反垃圾邮件服务。

很早的时候就有人意识到自己的邮件有可能被恶意的植入代码控制,从而发送到黑客的服务器上,也是打那时起,与垃圾邮件,病毒,恶意软件的斗争就从未停息过。期间著名的案例有2000年五月的“我爱你”病毒,通过各种邮件通告传播,声称某人去世或者馈赠,收件人可以得到一大笔钱。这些邮件都是从尼日利亚发出来的,所以也叫419诈骗,因为在尼日利亚419是欺诈的犯罪代码。

近年来,尽管企业花大资金在外围网络上设置重重设卡,仍然有非常多的垃圾邮件进入组织内部,并且数量成增长趋势。有报告显示全球每天垃圾邮件的数量在1千亿以上,其中10亿以上的垃圾邮件含恶意软件。垃圾邮件占日常邮件的70%。

由安全公司Sophos发布的研究显示,网络的快速发展和计算机的愈加低廉也给垃圾制造者带来了便捷,他们可以更快更大范围地散布垃圾邮件,而由于他们有大量的肉机,我们根本找不到他们。这些垃圾商业邮件已被视为互联网的污染,并且在短时间内无法解决。

回到EOP,作为标准的反垃圾处理程序,它可以在垃圾邮件到达Office 365的边缘网络时清除之。只不过随着公网上垃圾邮件的不断增多,以及垃圾邮件制造者的不断“进取”以图绕开反垃圾邮件的策略比如EOP,所以一些垃圾邮件还是会进入O365,我每周大约会收到3到4封这样的邮件,然后我会把这些邮件转发到微软以期他们分析其特征以完善EOP的反垃圾功能。

月初微软发布了EOP的ATP(高级威胁保护)功能。作为一项附加服务,ATP收取每用户每月2美元的功能费。ATP目前对一部分选定的O365租户试运行,今夏会开放通用功能。

作为有一个庞大用户群的平台(O365目前估计有10,000用户),2美元的价格会给运营方带来每年240,000美元的收入。所以租户一定想知道ATP的功能能为他们带来什么,微软总结了以下3点:

1. 更好的对历史垃圾邮件及恶意软件的清理。一些历史的病毒往往很难被反病毒软件所发现。每一封进入O365的邮件都通过EOP即好几道反垃圾和反病毒引擎的过滤,许多邮件在被认定含有病毒或其他有害内容时立即被丢弃,而一些可能存在安全隐患的邮件(比如含有常见恶意软件的某些特征字符),由于其未匹配任何恶意软件的签名,EOP无法判断邮件好还是不好,就通过一个特殊通道将其放置在一个沙盒环境中(应该是某个Azure的虚机上),然后将其可疑内容分解以决定其可靠性。比如说任何含有可执行文件附件的邮件都将被视为可疑邮件,至少需要用户人为干预。

理论上来说,如果用户可以破译出新型的威胁从而手动删除掉恶意软件与借助EOP来干这件事没有任何区别,但ATP的好处在于可以同时处理大量的邮件,并且有强大的自动学习功能,可以与恶意软件代码”一起进步”。需要讨论的问题就是ATP分析并处理一封可以邮件需要多长时间,尤其是在高峰时间,但目前的情况是处理速度还停留在分钟级别,未进入秒级。如果内容没有问题,ATP就会放行;如果可疑,用户可以选择将其阻止或者是将其恶意内容移除后再发给用户。这些可疑邮件即便被阻止,用户也可以日后拿来查看分析。

2. 对恶意URL的实时保护。攻击者有时会将恶意URL隐藏在正常的网址后。当你点开这些正常的网站链接后,浏览器实际上跳转到一个恶意URL。这就是所谓的钓鱼行为,用户往往会被界面所欺骗而把个人重要信息(比如银行账号密码)提交上去,而这些信息就落到了攻击者的手中。ATP会检查这些URL跳转,然后跟公网上最新的URL信誉列表比较,如果信誉很低,就会阻止此邮件。

上述检查发生在用户阅读这些邮件的时候,而不是在邮件到达O365时。这样就保证了用户在每次企图打开这些站点时,收到的提示信息是根据最新的信誉列表获得的。

3. 报告URL跟踪。显然EOP会向组织管理员汇报谁收到了恶意软件或垃圾邮件,这些邮件的内容是怎样的。这些信息足以用来分析攻击的类型和方式。只是针对某个人的还是整个组织的?哪些新型的攻击目前正流行?等等。

 

对于像ATP这样一项增值功能来说很难定义它究竟有多大的价值,可能对于安全要求比较高的企业来说会非常有价值。

黄 波

微软Exchange方向技术大牛,Exchange中文站论坛管理员负责人,发表许多Exchange相关的视频教程和文字教程。

黄 波 的最新文章 (查看所有)

发布于: 浏览:2254 次

还没有评论

欢迎参与到我们的技术讨论,问题和分享都可以。