IT服務器運維中警惕新型惡意軟件侵入郵箱

2020-04-06 21:11 作者：艾銻無限 瀏覽量：

IT服務器運維：警惕新型惡意軟件侵入郵箱
 

如果你在使用微軟的Exchange Online，不管是獨立的產品還是只是Office 365租戶的一部分功能，任何入站的郵件都會經過Exchange Online Protection的過濾。EOP是微軟在云端部署的大量前端服務器用以攔截并移除垃圾郵件在它們到達用戶郵箱之前。當然使用內部部署的Exchange企業也可以購買EOP反垃圾郵件服務。

很早的時候就有人意識到自己的郵件有可能被惡意的植入代碼控制，從而發送到黑客的服務器上，也是打那時起，與垃圾郵件，病毒，惡意軟件的斗爭就從未停息過。期間著名的案例有2000年五月的“我愛你”病毒，通過各種郵件通告傳播，聲稱某人去世或者饋贈，收件人可以得到一大筆錢。這些郵件都是從尼日利亞發出來的，所以也叫419詐騙，因為在尼日利亞419是欺詐的犯罪代碼。

近年來，盡管企業花大資金在外圍網絡上設置重重設卡，仍然有非常多的垃圾郵件進入組織內部，并且數量成增長趨勢。有報告顯示全球每天垃圾郵件的數量在1千億以上，其中10億以上的垃圾郵件含惡意軟件。垃圾郵件占日常郵件的70%。

由安全公司Sophos發布的研究顯示，網絡的快速發展和計算機的愈加低廉也給垃圾制造者帶來了便捷，他們可以更快更大范圍地散布垃圾郵件，而由于他們有大量的肉機，我們根本找不到他們。這些垃圾商業郵件已被視為互聯網的污染，并且在短時間內無法解決。

回到EOP，作為標準的反垃圾處理程序，它可以在垃圾郵件到達Office 365的邊緣網絡時清除之。只不過隨著公網上垃圾郵件的不斷增多，以及垃圾郵件制造者的不斷“進取”以圖繞開反垃圾郵件的策略比如EOP，所以一些垃圾郵件還是會進入O365，我每周大約會收到3到4封這樣的郵件，然后我會把這些郵件轉發到微軟以期他們分析其特征以完善EOP的反垃圾功能。

月初微軟發布了EOP的ATP（高級威脅保護）功能。作為一項附加服務，ATP收取每用戶每月2美元的功能費。ATP目前對一部分選定的O365租戶試運行，今夏會開放通用功能。

作為有一個龐大用戶群的平臺（O365目前估計有10,000用戶），2美元的價格會給運營方帶來每年240,000美元的收入。所以租戶一定想知道ATP的功能能為他們帶來什么，微軟總結了以下3點：

1. 更好的對歷史垃圾郵件及惡意軟件的清理。一些歷史的病毒往往很難被反病毒軟件所發現。每一封進入O365的郵件都通過EOP即好幾道反垃圾和反病毒引擎的過濾，許多郵件在被認定含有病毒或其他有害內容時立即被丟棄，而一些可能存在安全隱患的郵件（比如含有常見惡意軟件的某些特征字符），由于其未匹配任何惡意軟件的簽名，EOP無法判斷郵件好還是不好，就通過一個特殊通道將其放置在一個沙盒環境中（應該是某個Azure的虛機上），然后將其可疑內容分解以決定其可靠性。比如說任何含有可執行文件附件的郵件都將被視為可疑郵件，至少需要用戶人為干預。

理論上來說，如果用戶可以破譯出新型的威脅從而手動刪除掉惡意軟件與借助EOP來干這件事沒有任何區別，但ATP的好處在于可以同時處理大量的郵件，并且有強大的自動學習功能，可以與惡意軟件代碼”一起進步”。需要討論的問題就是ATP分析并處理一封可以郵件需要多長時間，尤其是在高峰時間，但目前的情況是處理速度還停留在分鐘級別，未進入秒級。如果內容沒有問題，ATP就會放行；如果可疑，用戶可以選擇將其阻止或者是將其惡意內容移除后再發給用戶。這些可疑郵件即便被阻止，用戶也可以日后拿來查看分析。

2. 對惡意URL的實時保護。攻擊者有時會將惡意URL隱藏在正常的網址后。當你點開這些正常的網站鏈接后，瀏覽器實際上跳轉到一個惡意URL。這就是所謂的釣魚行為，用戶往往會被界面所欺騙而把個人重要信息（比如銀行賬號密碼）提交上去，而這些信息就落到了攻擊者的手中。ATP會檢查這些URL跳轉，然后跟公網上最新的URL信譽列表比較，如果信譽很低，就會阻止此郵件。

上述檢查發生在用戶閱讀這些郵件的時候，而不是在郵件到達O365時。這樣就保證了用戶在每次企圖打開這些站點時，收到的提示信息是根據最新的信譽列表獲得的。

3. 報告URL跟蹤。顯然EOP會向組織管理員匯報誰收到了惡意軟件或垃圾郵件，這些郵件的內容是怎樣的。這些信息足以用來分析攻擊的類型和方式。只是針對某個人的還是整個組織的？哪些新型的攻擊目前正流行？等等。
 
對于像ATP這樣一項增值功能來說很難定義它究竟有多大的價值，可能對于安全要求比較高的企業來說會非常有價值.
 
 以上文章由IT外包服務商北京艾銻無限科技發展公司整理