隨著安全教育,特別是保密教育的普及和重視,個人電腦都嚴格要求安裝了殺毒軟件和個人防火墻,病毒庫和系統漏洞補丁程序也及時進行了更新,對于大多 數計算機來講,計算機系統安全隱患的風險得到了有效的降低,被入侵者主動攻擊成功的幾率大大降低;但是由于網絡的普及,很多家庭和單位具備上國際互聯網的 條件,收看個人Email郵件已經成為生活中的一部分。郵件攻擊已經成為網絡攻擊的主要手段之一,特別是帶有惡意病毒、網頁木馬程序、特制木馬程序以及利 用軟件漏洞的郵件木馬在互聯網上泛濫成災,用戶打開和閱讀郵件時,木馬感染系統,并可借助移動存儲設備進行傳播;因此郵件安全已經成為了安全領域一個不可 忽視,而亟待解決的問題。
收發和查看Email郵件主要有兩種方式,一種是直接通過Web Mail服務器,另外一種是通過單獨的Email郵件客戶端軟件,例如Outlook、Foxmail等,賈培武給出了一些處理Foxmail帶毒郵件的 方法,蔣華龍等對反垃圾郵件的原理以及技術手段等進行了分析。目前對郵件木馬的攻擊原理,郵件木馬實現原理等研究較少。
一、郵件安全隱患分析
1、軟件隱患
完美無缺的軟件目前還沒有,任何軟件都存在缺陷,只是這種缺陷的危害程度大小不一樣,提供郵件服務的郵件服務器以及接收郵件的客戶端軟件都存在或多 或少的缺陷。
(1)郵件軟件自身存在缺陷
到目前為止,市面上提供的郵件服務器軟件、郵件客戶端以及Web Mail服務器都存在過安全漏洞。QQ郵箱讀取其他用戶郵件漏洞、Elm 泄露任意郵件漏洞、Mail Security for Domino郵件中繼漏洞、The Bat !口令保護被繞過漏洞、Outlook Express標識不安全漏洞、263快信WinBox漏洞、Foxmail口令繞過漏洞等等。入侵者在控制存在這些漏洞的計算機后,可以輕易獲取 Email地址以及相對應的用戶名與密碼,如果存在Email通訊錄,還可以獲取與其聯系的其他人的Email地址信息等。還有一些郵件客戶端漏洞,入侵 者可以通過構造特殊格式郵件,在郵件中植入木馬程序,只要沒有打補丁,用戶一打開郵件,就會執行木馬程序,安全風險極高。
(2)郵件服務器端軟件和客戶端軟件配置問題
郵件服務器軟件和客戶端軟件也會出現因為配置不當,而產生較高安全風險。很多管理員由于郵件服務器配置不熟悉,搭建郵件服務器平臺時,僅僅考慮夠用 或者能夠使用,而未考慮到應該安全可靠的使用,在配置時僅僅設置為可使用,未對其進行郵箱安全滲透測試,因此安全風險也極大。
2、電子郵件木馬隱患
一封正常的郵件,無論用戶怎么操作,都是安全的;而安全風險往往來自非正常郵件,目前郵件攻擊結合社會工程學方法,發送的郵件在表面上跟正常郵件沒 有多大區別,不容易甄別。這些郵件常常采用以下方式。
(1)網頁木馬,郵件格式為網頁文件,查看郵件只能以html格式打開,這些網頁主要利用IE等漏洞,當打開這些郵件時,會到制定地址下載木馬程序 并在后臺執行。
(2)應用軟件安全漏洞木馬,這些郵件往往包含一個附件,附件可能是exe文件類型,也可能是doc、pdf、xls、ppt等文件類型,入侵者通 過構造特殊的格式,將木馬軟件捆綁在文件或者軟件中,當用戶打開這些文件時,就會直接執行木馬程序。還有一種更加隱蔽,將木馬軟件替換為下載者,下載者就 是一個到指定站點下載木馬軟件,其本身不是病毒軟件;用戶查看文件時,首先執行下載者,下載者然后再去下載木馬軟件并執行,殺毒軟件將視下載者為正常軟 件,不會進行查殺。這種方式隱蔽性好,木馬存活率,安全風險極高。
(3)信息泄露隱患,用戶在注冊BBS論壇、Blog以及一些公司的相關服務中,都要求提供Email地址等相關信息,有些公司和個人為了商業目的 會將郵件地址等進行出售來獲利,這些個人信息泄露將會帶來安全隱患;還有一種情況,就是個人注冊信息在網絡上沒有得到屏蔽,任何用戶都可以查看和搜索,通 過Google等搜索引擎可以獲取較為詳盡的資料信息,危害極高。
3、系統安全隱患
系統安全隱患的范圍比較大,系統在安裝過程、配置以及后期使用過程中由于使用不當,都有可能造成安全隱患;例如下載并執行未經安全檢查的軟件,系統 存在未公開的漏洞等,這些安全隱患風險極高,且不容易防止,往往只能通過規范培訓,加強制度管理等來降低風險。
二、郵件木馬技術
1、網頁木馬技術
網頁木馬是最近幾年比較流行的一種木馬技術,其原理就是利用IE本身或Windows組件的漏洞(一般為緩沖區溢出)來執行任意命令(網頁木馬即執 行下載木馬和隱藏執行命令),一般常見的漏洞多產生于IE,畸形文件(如畸形的ANI,word文檔等,IE會自動調用默認關聯打開,導致溢出),程序組 件(用java調用帶有漏洞的組件來執行命令),其核心代碼主要是利用vbs腳本下載木馬程序并執行。早期的網頁木馬主要有兩個文件,一個為html網頁 文件,另外一個為木馬文件。如果瀏覽者的操作系統中存在漏洞,在訪問網頁文件時便會自動執行木馬程序。由于殺毒軟件的查殺,后期的網頁木馬開始利用框架網 頁,例如,將框架網頁嵌入在正常網頁中,由于框架網頁的寬度和高度均為0,所以在網頁中不會有視覺上的異常,不容易被察覺。后面陸續出現利用 JavaScript、JavaScript變形加密、css、Java、圖片偽裝等多種方式將框架網頁代碼進行轉換變形等處理,使其更難被發現和被殺毒 軟件查殺。
入侵者一方面在個人網站、商業網站以及門戶網站等上面放置網頁木馬,控制個人計算機、盜取個人賬號、出售流量等來牟取商業利益;另外還將這些網頁木 馬制作成網頁文件,大量發送垃圾郵件,如果接收者一不小心打開了網頁文件,計算機將會感染和傳播木馬病毒,安全風險極高。
2、文件捆綁技術
文件捆綁的核心原理就是將b.exe附加到a.exe的末尾,當a.exe被執行的時候,b.exe也跟著執行了。早期的文件捆綁技術比較簡單,文 件捆綁器比較容易被查殺,后面逐漸出現通過利用資源來進行文件捆綁,在PE文件中的資源可以是任意的數據,將木馬程序放入資源中,執行正常程序后再釋放木 馬程序。
在郵件木馬中,捆綁木馬攻擊是最常見的一種攻擊方式,比較直接,只要打開郵件中的捆綁的文件,則會執行木馬程序。常見以下幾種捆綁文件類型:
(1)應用程序安裝文件。這類可執行文件往往偽裝成一個setup圖標的安裝文件。
(2)Ebook電子圖書文件。Ebook電子圖書是一種可執行的文件,這類文件是將html等文件通過編譯生成一個可執行文件。
(3)Flash文件。Flash文件有兩種類型,一種是可執行的flash文件,直接運行就可以觀看flash;另外一種是以.swf結尾的文 件,需要單獨的Flash播放軟件播放。
文件捆綁的核心就是將一個正常的文件跟木馬文件捆綁,捆綁時會修改文件圖標,以假亂真,誘使用戶打開這類文件,達到控制計算機或者傳播病毒的目的。
3、應用軟件漏洞利用技術
利用應用軟件漏洞而制作的木馬程序,很難識別,危害最高。Office軟件中的Word、PowerPoint、Excel,Adobe Reader,超星圖書瀏覽器等都出現過高危安全漏洞,在日常辦公中這些文件被廣泛使用,利用應用軟件的漏洞制作的木馬,跟正常文件沒有什么區別,當用戶 打開時,會執行木馬程序和打開正常的文件。入侵者往往利用應用軟件漏洞來制作木馬,將這些看似正常的文件通過郵件發送給被攻擊者,被攻擊者一旦打開郵件中 的文件,感染木馬病毒的幾率非常高。
三、郵件安全防范
1、郵件服務器安全防范
郵件服務器最基本的安全是保證操作系統的安全,由于操作系統安全涵蓋面比較大,本文主要是在假設操作系統安全的前提下,主要討論郵件安全,其系統安 全建議采用以下措施:
(1)及時更新操作系統漏洞補丁。
(2)安裝殺毒軟件和防火墻,及時更新病毒庫,定期定時查殺病毒,如果有條件可以使用郵件安全網關。
(3)設立安全checklist,定期按照安全策略進行安全檢查。
(4)嚴格限制IP地址訪問,除了郵件服務器提供的郵件服務外,如果能夠做IP安全限制,就針對維護的IP地址等進行信任網絡設置。
(5)安裝的任何軟件必須經過安全測試,確保無插件,確保安裝的軟件是“干凈”的。
對于郵件服務器,不管配置什么樣的郵件服務器,在配置服務器時,一定上網查找目前郵件服務器軟件版本是否存在漏洞,以及一些相關的安全配置文章,做 好其相關安全風險評估和風險應對措施。
2、郵件客戶端安全防范技術
除了郵件服務器的安全外,郵件客戶端是郵件木馬攻擊的主要對象,因此做好郵件客戶端的安全防范在郵件安全防范方面至關重要。郵件客戶端計算機應當安 裝有防火墻、殺毒軟件,并及時更新病毒庫和操作系統安全補丁。建議使用具有郵件監控的殺毒軟件,對于國內普通用戶可使用“瑞星防火墻軟件”。對郵件木馬的 防范建議采用以下四種方法:
(1)一“查”主要是在收看郵件時,如果存在附件,先將附件保存到本地,然后使用殺毒軟件進行查殺。如果是可執行文件,一定要通過物理通訊方式,詢 問發件人,確保郵件的來源可靠。建議修改文件夾選項,取消“隱藏文件已經文件后綴”選項,使其能夠查看文件的實際后綴名稱,防止入侵者修改文件后綴,以假 亂真,誘使收件人執行木馬程序。
(2)二“看”主要是指像看郵件標題,以及寄件人地址,如果郵件有附件,需要先查看附件屬性,附件文件是否隱藏了文件后綴。如果郵件客戶端程序提供 文本查看方式,建議先采用文本查看方式進行查看。
(3)三“堵”就是在發現已經感染病毒的情況下,要及時堵漏,采取相應的補救措施,如果發現系統感染了木馬程序,建議恢復系統或者重裝操作系統。
(4)使用雙向加密軟件查看和收發郵件,例如使用具有PGP加密功能的軟件來進行郵件的收發,通過個人簽名證書等可信任方式來保證郵件的安全,防止 假冒、篡改電子郵件。
如果在收看郵件時,不小心感染了郵件木馬程序,應當即刻斷掉網絡,查殺病毒,做好數據備份,如果條件允許,盡量重新恢復系統,并報告網管人員,再次 進行系統安全檢查等,確保本地網絡完全。
四、結束語
本文就郵件安全隱患進行了探討,郵件攻擊目前已經成為攻擊的主要手段之一,由于郵件已經成為日常生活中不可缺少的一部分,絕大多數人都會上網使用電 子郵件,如果沒有郵件相關的安全防范意識,郵件木馬入侵成功率較高,不管是發生在個人、公司、政府或者軍隊,均有極大的安全風險,本文對郵件木馬等技術進 行了研究,最后給出了一些切實可行的解決方法,對付郵件木馬有一定的參考價值。
