「郵件安全須知」綠盟助你阻止惡意宏代碼蔓延
2017年Data Breach Investigations Report報告顯示:66%的惡意軟體通過郵件附件方式進行感染,竊取商業機密、中斷業務、破壞聲譽。近年來以勒索軟體為代表的郵件安全問題來勢洶洶,電腦病毒較往年安全事件的占比增長速度之快,
事件還原
綠盟科技技術人員在接收某企業用戶日常郵件過程中,部署在綠盟科技網路出口的威脅分析系統(TAC-E)發出郵件隔離告警,提示客戶郵件附件中存在惡意巨集代碼,通過威脅分析系統提取附件文檔分析,使用olevba工具驗證了壓縮包中幾個文檔存在惡意宏代碼。
威脅分析報告
巨集病毒會感染DOT範本檔,惡意檔感染Normal Template範本,如果打開其他活動文檔,會將本身代碼進行複製到活動文檔來感染。
摘錄的樣本代碼可以看到以下一段感染代碼,Word巨集病毒一般都首先隱藏在一個指定的Word文檔中,一旦打開這個文檔,
原因構成分析
綠盟科技技術人員前往現場處置時發現該文檔出自於某重要檔案伺服器,並且已經存在大量感染的文檔。
1.企業網路出口部署了防火牆、IDS、IPS、WAF、郵件安全閘道來建構其核心檢測能力,這些產品依靠已知攻擊特徵碼進行模式匹配來檢測已知的網路攻擊,在一些特定情況下,針對新的未知攻擊沒有招架之力;
2.企業辦公終端統一安裝國外某品牌殺毒軟體,文檔使用過程中未產生過告警,通過上傳Virus total平臺發現該品牌殺毒引擎未能檢測出該惡意程式碼檔;
3.Linux的招投標伺服器未安裝殺毒軟體。
防護思路
在下一代威脅背景下,我們發現基於簽名的檢測方式有很多不足,並不能防止重大網路危害的發生,惡意樣本數量的急劇增加,而防病毒簽名匹配引擎在性能上無法承受,防病毒廠商有過億數量的樣本庫,檢測引擎因為性能問題只能載入極少的部分,導致樣本不能及時檢測。通過威脅分析系統(TAC-E)與現有的郵件安全閘道聯動檢測的方式,利用虛擬執行沙箱技術能夠有效的提升郵件安全威脅檢測能力。
同時可以通過綠盟下一代威脅防禦解決方案(簡稱NGTP)全面有效的對APT威脅檢測和防禦。網路、Web、郵件和終端等,都是APT威脅可能利用的通道,NGTP解決方案,不僅在網路邊界進檢測和防禦,還在企業內網,郵件伺服器,終端等多個層面進行檢測和防禦。利用本地沙箱和雲端安全信譽,有效地對APT威脅檢測和防禦。既能夠即時進行檢測和阻斷,還利用大資料分析平臺,進行事後的分析和調查。
總結
2017年底,由公安部牽頭,會同工信部和國家保密局在全國部署開展了黨政機關、事業單位和國有企業互聯網電子郵件系統安全專項整治行動。綠盟科技的完善的郵件安全解決方案,可以滿足主管機構的指導安全要求,同時能夠幫助企業郵箱達到多重安全機制保障,穩定運行。
請點擊螢幕右上方“…”
關注綠盟科技公眾號
NSFOCUS-weixin
↑↑↑長按二維碼,下載綠盟雲APP
利用虛擬執行沙箱技術能夠有效的提升郵件安全威脅檢測能力。同時可以通過綠盟下一代威脅防禦解決方案(簡稱NGTP)全面有效的對APT威脅檢測和防禦。網路、Web、郵件和終端等,都是APT威脅可能利用的通道,NGTP解決方案,不僅在網路邊界進檢測和防禦,還在企業內網,郵件伺服器,終端等多個層面進行檢測和防禦。利用本地沙箱和雲端安全信譽,有效地對APT威脅檢測和防禦。既能夠即時進行檢測和阻斷,還利用大資料分析平臺,進行事後的分析和調查。
總結
2017年底,由公安部牽頭,會同工信部和國家保密局在全國部署開展了黨政機關、事業單位和國有企業互聯網電子郵件系統安全專項整治行動。綠盟科技的完善的郵件安全解決方案,可以滿足主管機構的指導安全要求,同時能夠幫助企業郵箱達到多重安全機制保障,穩定運行。
請點擊螢幕右上方“…”
關注綠盟科技公眾號
NSFOCUS-weixin
↑↑↑長按二維碼,下載綠盟雲APP