問題描述

某政府單位按照等保要求部署了安全防御產(chǎn)品，但通過科來網(wǎng)絡(luò)回溯分析系統(tǒng)對(duì)流量進(jìn)行分析后發(fā)現(xiàn)郵箱服務(wù)器發(fā)起了大量對(duì)外網(wǎng)郵箱的郵件，發(fā)送郵件頻率高。

分析結(jié)論

對(duì)存在相同行為的賬號(hào)進(jìn)行審查與分析，發(fā)現(xiàn)內(nèi)網(wǎng)多個(gè)賬號(hào)已被盜，需要對(duì)這些賬號(hào)進(jìn)行重置，并更新病毒庫對(duì)全網(wǎng)機(jī)器進(jìn)行殺毒，并對(duì)郵箱服務(wù)器進(jìn)行升級(jí)。

價(jià)值

通過網(wǎng)絡(luò)分析對(duì)網(wǎng)絡(luò)流量中隱蔽的可疑行為進(jìn)行發(fā)現(xiàn)和分析，并借助回溯分析回查評(píng)估過去一段時(shí)間的攻擊影響和取證，制定針對(duì)性的防御策略，及時(shí)止損。當(dāng)前網(wǎng)絡(luò)安全是動(dòng)態(tài)的，網(wǎng)絡(luò)安保工作需從被動(dòng)防御上升到主動(dòng)防護(hù)。目前網(wǎng)絡(luò)安全等級(jí)保護(hù)已進(jìn)入2.0時(shí)代，網(wǎng)絡(luò)全流量回溯分析技術(shù)是打造主動(dòng)防御體系與等保2.0合規(guī)的技術(shù)手段。

分析過程

通過回溯分析對(duì)某天夜間的流量進(jìn)行分析后發(fā)現(xiàn)夜間存在大量的Email流量，展開Email流量查看產(chǎn)生Email流量的通訊會(huì)話，發(fā)現(xiàn)均為郵箱服務(wù)器與公網(wǎng)地址的通訊。如圖1、圖2所示。

圖1 展開Email流量查看

圖2 展開Email流量查看

對(duì)這段郵箱服務(wù)器和外網(wǎng)地址的通訊內(nèi)容進(jìn)行還原，可見內(nèi)部郵箱賬號(hào)給外網(wǎng)郵箱發(fā)送郵件的過程，該行為發(fā)生在夜間且發(fā)送頻率很高，郵件發(fā)送到多個(gè)外網(wǎng)郵箱，行為可疑。如圖3所示。

圖3 還原發(fā)送郵件過程

還原郵件內(nèi)容，發(fā)現(xiàn)均為推廣、賭博等廣告郵件，由此確認(rèn)該郵箱賬號(hào)被盜。