高校賬號盜用監控及釣魚郵件檢測-上海交通大學
高校 賬號盜用監控及釣魚郵件檢測
上海交通大學網路資訊中心 瞿慶海
本文聚焦高校電子郵件服務運維中面臨的兩大痛點, 賬號盜用監控和釣魚郵件檢測 。希望利用當前流行的 開源技術框架 (Postfix/Amavisd/Clamd/Spamassassin/Elasticsearch/Logstash/Kibana)搭建可行的解決方案,提升運維效率,減輕運維人員壓力。
一、賬號盜用監控
1.盜號目標:獲取郵箱、網站、銀行賬號密碼
2.盜號手段:釣魚郵件、木馬、釣魚網站
3.常見行為:繼續盜用更多內部賬號、向外傳送釣魚郵件
4.檢測手段:發現賬號異常行為加人工判定
賬號盜用監控 —外發SMTP節點監控
左上圖顯示了來自中國大陸以外的透過身份認證的發件IP分時統計資料;
右上圖顯示了來自上海以外城市的透過身份認證的發件IP分時統計資料;
左下圖顯示了向校外傳送郵件量分時統計資料;
右下圖顯示了向校外傳送郵件狀態(Sent/Deferred/Bounced)佔比分時統計資料;
賬號盜用監控 —SMTP認證發信監控
左圖顯示最近 24小時透過身份認證的發件IP地址Top10;
右圖顯示最近 24小時透過身份認證的發件賬號Top10;
二、釣魚郵件檢測
1.常見行為特徵:
-批次傳送,持續傳送
-透過正規郵箱如Gmail/Yahoo/QQ/163傳送
-透過肉雞及專用域名傳送
2.常見內容特徵:
-仿冒發件人身份,標題及內容多為賬號停用、賬號備案、容量超限等
-通常包含釣魚網站連結,要求輸入賬號密碼
-透過附件形式套取賬號密碼或者植入木馬
3.按檢測難易程度分類
-低階:大批次,短時間,相同標題,相同發件人,相同發件IP
-中級:多批次,每次少量,發件人或者發件IP相同
-高階:分散傳送,IP不相同,發件人不相同、標題不完全相同
釣魚郵件檢測 —常見郵箱入站統計
左上圖顯示了最近24小時來自Gmail的發件人排名Top10;
右上圖顯示了最近24小時來自Yahoo的發件人排名Top10;
左下圖顯示了最近24小時來自163的發件人排名Top10;
右下圖顯示了最近24小時來自QQ的發件人排名Top10;
釣魚郵件檢測 —入站郵件聚合資料
左上圖顯示了最近24小時按校外到達郵件標題統計排名Top10;
右上圖顯示了最近24小時按校外到達郵件發件人郵箱統計排名Top10;
左下圖顯示了最近24小時按校外到達郵件發件人IP統計排名Top10;
右下圖顯示了最近24小時按校外到達郵件退信郵箱統計排名Top10;
三、技術框架簡介
1.建立專用松耦合入站郵件閘道器、郵件外發伺服器
Postfix Amavis Clamd Spamassassin
Postfix: 目前最主流的MTA軟體,用於接收和傳送郵件;
Amavis: 反垃圾郵件引擎;
Clamd: 病毒掃描軟體;
Spamassassin: 垃圾郵件綜合評分軟體;
2.日誌集中、資料清洗、資料視覺化
Rsyslogd Elasticsearch Logstash Kibana
Rsyslogd 日誌服務程式;
Elasticsearch: 分散式反向索引服務程式;
Logstash: 流式日誌資料解析轉換工具;
Kibana: ElasticSearch視覺化工具;
3.批次查詢、批次刪除
Python + JavaScript + API
技術框架簡介 —技術難點
1.資料清洗
日誌模式匹配:
日誌模式匹配:電子郵件原始日誌通常由眾多程式組成,不同的程式具有不同的日誌格式,同時日誌中時常會出現異常資料,如非 ASCII字元,不完整資料等;
日誌事件提取:
日誌事件提取 : 日誌處理的關鍵任務之一是從分散的日誌行中提取完整的郵件傳輸事件,通常需要用佇列ID等關鍵字進行聚合;
日誌中的特殊字元、不規範資料處理:
日誌中的特殊字元、不規範資料 : 非ASCII字元、BASE64編碼後的UTF8及GB2312字元甚至錯誤編碼導致的亂碼,最低要求是碰到此類字元時程式不應中斷退出;
2.異常檢測
一維特徵值統計相對容易
一維特徵值 : 常見的如發件人郵箱、發件人IP、標題等特徵值統計,基礎日誌資料半結構化(匯入ELK完成反向索引)以後相對容易實現;
多因子模型存在諸多挑戰(樣本選擇、特徵向量、分類演算法)
多因子模型 : 不同的特徵值擁有不同的權重,和已知垃圾郵件/釣魚郵件樣本進行相似性匹配,需要做相應的資料標記以及建模工作;
技術框架簡介 —校外釣魚郵件攔截處置機制示意圖
透過蜜罐郵箱、使用者舉報、日誌分析三大途徑發現釣魚郵件及垃圾郵件,新增黑名單攔截並清理已到達的垃圾郵件;
透過日誌分析查詢已到達的郵件並進行批處理。
版權宣告: 本文為上海交通大學網路資訊中心 瞿慶海老師的原創文章,文章首發於 Coremail雲服務中心管理員社群。轉載請附上原文出處連結及本宣告。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69999973/viewspace-2906784/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 釣魚篇-郵件釣魚
- 高校郵件系統盜號問題處置經驗-復旦大學
- Coremail郵件閘道器:【反垃圾反釣魚防盜號】教育大咖圓桌論壇共商郵件校園安全策略REMAI
- 郵件釣魚攻擊與溯源
- 關於釣魚郵件,你知道多少?
- 美團被爆用釣魚郵件獲拼多多薪資資訊,電商企業如何防範釣魚郵件?
- 基於釣魚郵件測試的安全意識教育方法
- 最新釣魚郵件曝光:偽裝成Office 365未送達郵件
- 這樣的釣魚郵件,你會中招嗎?
- X站釣魚郵件應急響應案例分析
- 2021年Q2郵件安全報告:釣魚郵件季環比增長21.27%
- 這幾種釣魚郵件,你一定不陌生~
- 釣魚郵件真假難辨?幾招教你如何辨別
- 為什麼釣魚郵件備受駭客青睞
- Vade:2023 年Q1全球共檢測到釣魚郵件報告5.624 億封 環比增加 102%
- 辦公護甲:十大預防電子郵件釣魚攻擊的方法
- 掌握這些方法,輕鬆識破釣魚郵件的偽裝
- 2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬REMAI
- 釣魚學習
- 上海交通大學生存手冊
- SQL Server 非sysadmin賬號傳送郵件SQLServer
- 高校被盜郵箱處置的運維經驗分享-清華大學運維
- Python監控程序資源佔用併傳送郵件Python
- 釣魚郵件翻倍!2021年Q4企業郵箱安全報告出爐!
- 釣魚釣魚去
- 多部門下發補貼?假的!Coremail郵件安全提醒:詐騙型釣魚郵件正在活躍!REMAI
- 針對Office 365的新型網路釣魚詐騙之音訊郵件音訊
- AgentTesla病毒解析:利用釣魚郵件竊取終端隱私資料
- 《Steam賬號被盜》
- 客戶案例:Coremail聚焦高校郵箱盜號問題,築牢安全牆REMAI
- 釣魚篇-其他釣魚
- Nodejs監控Apple召回計劃&郵件提醒NodeJSAPP
- Coremail郵件安全:2022重保最新釣魚案件典型攻擊手法覆盤REMAI
- 卡巴斯基:2021年Q2垃圾郵件和網路釣魚報告
- 2021 年Q2Coremail郵件安全報告發布:超8成釣魚郵件來自境外攻擊REMAI
- 釣魚篇-網路釣魚
- 三大黑產組織情報!郵件釣魚背後操控的緬北魔方G組織
- 大魚號多賬號管理工具,管理200+自媒體賬號