武漢大學：如何應對來自郵件的APT攻擊？

作者簡介：

夏正偉，男，武漢大學資訊中心副主任，Coremail管理員社群特邀大咖

APT攻擊可以分解為三個關鍵詞：一是隱蔽性強，可繞過常規的防禦體系；二是 持續，會不斷嘗試，長期潛伏，直到實現其目的；三是 威脅，一旦得逞可能造成極大的危害。與傳統的網路攻擊相比，APT攻擊行為的竊取資料、破壞系統等動機更加明確，通常具有明確的目標，其可能潛伏或持續很長的時間，更為隱蔽難以發現。APT攻擊通常綜合使用多種攻擊手段，但釣魚郵件是APT攻擊最常見的前期入侵手段之一。

2013年，美國第二大連鎖超市塔吉特的空調供應商（HAVAC）4名員工收到釣魚郵件，其中一人點開了附件中的Excel檔案，成為了遭受攻擊的第一跳板。後續駭客利用0day漏洞使受害主機下載惡意軟體，又在公司內網傳播先後感染了WEB伺服器和其他業務伺服器。透過許可權提升最後入侵了核心伺服器，並感染了POS刷卡終端。潛伏在POS系統中長達2個月，期間盜取了4千萬條銀行卡資訊，並在黑市進行大量交易。事件造成塔吉特6100萬美元額外支出，導致當年淨利潤下滑46%，董事長、CEO因此事辭職。

防範APT攻擊需要從多方面的策略和措施著手， 在事前要提前佈防，隨時監測惡意程式碼、攻擊手段、攻擊行為，提前做好防禦方案； 在事中要快速定位。迅速查詢攻擊源、攻擊點、感染源和態勢，根據威脅發展態勢發現防禦弱點及時補防； 在事後要及時處置。分析攻擊行為、攻擊目標、造成危害，及時進行針對性的查殺隔離。
對釣魚郵件發起APT攻擊的前期入侵，需要防範郵件投遞過程中的密碼捕獲、勒索病毒、特種木馬等威脅，可以採取以下幾個方面的應對措施：

一、加強使用者安全培訓
定期進行網路安全意識培訓，使使用者瞭解APT攻擊、釣魚郵件的常見特徵、危害和應對方法。開展釣魚郵件攻擊的模擬演練，讓使用者在實際場景中提高防範意識與應對能力。提醒使用者及時安裝作業系統、應用程式和防病毒軟體的補丁和更新，以修復已知的安全漏洞。

二、提升系統防禦能力
綜合採用機器學習、信譽檢測、病毒檢測、泛化檢測等手段，提升郵件系統的防禦能力。部署安全電子郵件閘道器，實時掃描和分析進出郵件，對其中垃圾和惡意郵件進行有效的檢測和攔截。配置SPF、DKIM和DMARC等協議，檢查郵件傳送源的合法性、可信性。定期對郵件系統進行安全審計，加強日誌監控，及時發現異常跡象。

三、升級訪問控制策略
傳統的網路訪問控制一般採取使用者名稱密碼來控制使用者的訪問許可權，一旦在釣魚郵件構造的虛假登入頁面輸入使用者名稱密碼，攻擊者即可非常容易的利用這些資訊來取得其他業務的訪問許可權。升級網路訪問的控制策略，可以有效抵禦相關風險。可以採取的措施有實施嚴格的密碼策略，限制對內部重要資源的訪問許可權等。尤其是重要敏感的業務系統，可以採取雙因素或多因素認證的方式。

四、充分共享威脅情報
充分共享網路攻擊威脅情報是提高網路安全防禦能力的重要手段，要加強與相關廠商、組織的溝通協作，及時分享威脅情報和較佳實踐，根據共享情報採取行動，及時修復漏洞、升級防護措施，共同應對APT攻擊的威脅。