楊光宇 蘆雅歌 莫德銘 葉海天 翟繼強(qiáng)

摘要：電子郵件欺騙是最常見(jiàn)的電子郵件攻擊類(lèi)型，其攻擊及檢測(cè)是電子郵件取證研究中一個(gè)具有挑戰(zhàn)性的問(wèn)題。提出利用內(nèi)存取證技術(shù)來(lái)獲取瀏覽器的實(shí)時(shí)進(jìn)程提取電子郵件頭進(jìn)行分析，采用Message-ID檢測(cè)，結(jié)合nslookup查詢(xún)提取MX記錄來(lái)檢測(cè)和識(shí)別用戶(hù)收到的偽造電子郵件。實(shí)驗(yàn)測(cè)試和分析結(jié)果表明，可以有效檢測(cè)電子郵件欺騙，精度高、誤報(bào)少，并且不會(huì)中斷機(jī)器的常規(guī)操作。

關(guān)鍵詞：電子郵件欺騙；內(nèi)存取證；Message-ID；MX記錄

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1008-1739（2021）17-57-4

0引言

在如今的數(shù)字時(shí)代，無(wú)論是在官方還是個(gè)人互動(dòng)中，電子郵件都是日常交流的重要組成部分。電子郵件的保護(hù)和安全是一個(gè)具有挑戰(zhàn)性的命題[1]，因?yàn)楹?jiǎn)單郵件傳輸協(xié)議（SMTP）用于在郵件服務(wù)器之間進(jìn)行郵件傳輸，傳統(tǒng)上是不安全的，所以電子郵件容易受到主動(dòng)形式和被動(dòng)形式的攻擊。電子郵件欺騙是最常見(jiàn)的電子郵件攻擊類(lèi)型，通過(guò)操縱發(fā)件人的電子郵件地址來(lái)創(chuàng)建偽造郵件的過(guò)程，使得收件人誤認(rèn)為原始電子郵件來(lái)自真正的發(fā)件人。

目前，研究人員已經(jīng)提出了各種方法來(lái)應(yīng)對(duì)電子郵件欺騙帶來(lái)的挑戰(zhàn)，其中包括對(duì)電子郵件頭字段的時(shí)間和日期分析[2-3]、郵件內(nèi)容分析[4]、欺騙對(duì)策技術(shù)、基于SSL協(xié)議的反欺騙應(yīng)用[5]及電子郵件跟蹤器等。

本文提出的系統(tǒng)利用內(nèi)存取證技術(shù)，通過(guò)獲取測(cè)試機(jī)上正在運(yùn)行的瀏覽器進(jìn)程，并提取電子郵件頭進(jìn)行分析，采用Message-ID檢測(cè)，結(jié)合nslookup查詢(xún)提取MX記錄匹配來(lái)檢測(cè)和識(shí)別電子郵件欺騙攻擊。

1內(nèi)存取證技術(shù)

內(nèi)存取證作為計(jì)算機(jī)取證科學(xué)的重要分支，是指從計(jì)算機(jī)物理內(nèi)存和頁(yè)面交換文件中查找、提取、分析易失性?xún)?nèi)存數(shù)據(jù)，是對(duì)傳統(tǒng)基于文件系統(tǒng)取證的重要補(bǔ)充，是對(duì)抗網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)犯罪的有力武器[6]。在內(nèi)存取證之前，需先對(duì)操作系統(tǒng)內(nèi)存進(jìn)行轉(zhuǎn)儲(chǔ)，獲取到的重要數(shù)據(jù)可作為證據(jù)，幫助取證分析人員偵破網(wǎng)絡(luò)犯罪或其他形式的網(wǎng)絡(luò)攻擊[7]。

將內(nèi)存取證技術(shù)應(yīng)用于電子郵件欺騙的檢測(cè)[8]，獲取客戶(hù)端的內(nèi)存轉(zhuǎn)儲(chǔ)來(lái)分析和識(shí)別偽造的電子郵件[9]，這種方法確實(shí)保證了不可否認(rèn)性，但是依賴(lài)于內(nèi)存大小。如果測(cè)試系統(tǒng)的內(nèi)存很大，整個(gè)過(guò)程需要大量的時(shí)間、存儲(chǔ)空間和其他資源來(lái)完成任務(wù)。故提出的方法只能獲取瀏覽器的進(jìn)程，而不是完整的內(nèi)存轉(zhuǎn)儲(chǔ)，減少了獲取時(shí)間、存儲(chǔ)需求和系統(tǒng)資源的利用率，由于該方法不涉及完整的內(nèi)存轉(zhuǎn)儲(chǔ)，因此獨(dú)立于硬件。

2設(shè)計(jì)與實(shí)現(xiàn)

本文提出的方法是定期在用戶(hù)計(jì)算機(jī)上監(jiān)測(cè)，當(dāng)用戶(hù)打開(kāi)收件箱查看電子郵件，會(huì)導(dǎo)致電子郵件被加載到計(jì)算機(jī)內(nèi)存中。從實(shí)時(shí)內(nèi)存中獲取所有當(dāng)前運(yùn)行的瀏覽器進(jìn)程，并提取電子郵件頭，將提取的頭字段進(jìn)行匹配，以識(shí)別真正的和偽造的電子郵件。創(chuàng)建一個(gè)日志文件，其中包含所有已識(shí)別的偽造電子郵件列表。

2.1工作流程

系統(tǒng)工作操作步驟如下：

①用戶(hù)打開(kāi)電子郵件閱讀，電子郵件被加載到內(nèi)存中。

②在實(shí)時(shí)內(nèi)存中獲取所有與瀏覽器相關(guān)聯(lián)的進(jìn)程，并保存在輔助存儲(chǔ)器中。

③STRINGS64的運(yùn)行是為了掃描和提取ASCII和UNICODE字符串。

④文件經(jīng)過(guò)過(guò)濾，提取出郵件頭，存儲(chǔ)在一個(gè)單獨(dú)的文件中。

⑤文件頭用作算法中的輸入數(shù)據(jù)集，以檢測(cè)偽造電子郵件。

⑥所有檢測(cè)到的偽造電子郵件都將作為記錄存儲(chǔ)在單獨(dú)的日志文件中。

2.2提取電子郵件頭

2.2.1獲取實(shí)時(shí)進(jìn)程

使用Magnets Process Capturing工具捕獲與電子郵件相關(guān)的實(shí)時(shí)進(jìn)程。該工具易于安裝、運(yùn)行速度快、獲取的進(jìn)程規(guī)模小、易于存儲(chǔ)在輔助設(shè)備上，可以選擇在設(shè)定的時(shí)間間隔獲取指定的進(jìn)程。由于很難從所有瀏覽器運(yùn)行的進(jìn)程中識(shí)別出確切的進(jìn)程，所以選擇獲取所有當(dāng)前運(yùn)行的瀏覽器進(jìn)程。

2.2.2提取郵件頭

利用Microsoft Strings64工具掃描獲取進(jìn)程轉(zhuǎn)儲(chǔ)文件，并將默認(rèn)長(zhǎng)度為3個(gè)或更多字符的ASCII和UNICODE字符串作為輸出，存儲(chǔ)在一個(gè)文件中。然后，通過(guò)Findstr Search命令從上述步驟的輸出文件中提取郵件頭，并將該數(shù)據(jù)作為檢測(cè)電子郵件欺騙算法的輸入。

2.3檢測(cè)算法

通過(guò)電子郵件的通信遵循RFC 822的標(biāo)準(zhǔn)格式，電子郵件中的任何欺騙攻擊檢測(cè)都是基于對(duì)電子郵件頭的分析，常見(jiàn)且重要的郵件頭字段如表1所示。

為了正確檢測(cè)偽造電子郵件，采用了以下檢測(cè)方法：

①M(fèi)essage-ID檢測(cè)：從郵件頭中選擇From和Message-ID這2個(gè)基本的頭字段。然后將Message-ID字段的域名與From字段的域名進(jìn)行比較。該匹配對(duì)于建立電子郵件的完整性和真實(shí)性至關(guān)重要，兩字段域名互相匹配如圖1所示，兩字段域名不匹配如圖2所示。

②MX記錄匹配：當(dāng)一封真正的電子郵件Form字段域和Message-ID域匹配失敗時(shí)，基于Message-ID的方法就會(huì)失敗。通過(guò)實(shí)驗(yàn)測(cè)試發(fā)現(xiàn)，向電子郵件服務(wù)提供商雇傭或外包電子郵件服務(wù)的組織在Message-ID匹配方面失敗。比如G-suite，如果一個(gè)組織通過(guò)Google切換到G-suite，其郵件仍然會(huì)保留其父組織的域，但是由發(fā)送郵件的服務(wù)器生成的Message-ID會(huì)有Google域。當(dāng)此域名與發(fā)件人域名相比較時(shí)，將顯示為一封偽造的真實(shí)電子郵件。通過(guò)使用基于MX記錄的匹配，克服了這種基于Message-ID檢測(cè)的局限性。

MX記錄將電子郵件定向到郵件服務(wù)器。DNS中存在的資源記錄用于指定郵件服務(wù)器，該服務(wù)器將負(fù)責(zé)接收特定域的電子郵件。這些信息可以通過(guò)向DNS進(jìn)行正向nslookup查詢(xún)并存儲(chǔ)MX記錄以進(jìn)行域名匹配來(lái)提取。從域名系統(tǒng)獲取的典型MX記錄如圖3所示。

由于從MX記錄中獲得的域名不能被操縱，而是從DNS服務(wù)器上獲取的，所以可以視為一個(gè)可靠的信息來(lái)源。

本文提出的算法首先讀取進(jìn)程轉(zhuǎn)儲(chǔ)的頭文件，提取并比較From和Message-ID字段，以驗(yàn)證二者是否具有相同的域名。如果域名匹配，則認(rèn)為是真實(shí)郵件。如果不是，則進(jìn)行nslookup查詢(xún)從DNS服務(wù)器獲取MX記錄，MX記錄中的域名與Message-ID字段的域相匹配。如果匹配成功，認(rèn)為這是一封真正的電子郵件；如果匹配失敗，就確認(rèn)是該偽造的電子郵件并將From和Message-ID值寫(xiě)入一個(gè)單獨(dú)的日志文件。

為了進(jìn)一步加快檢測(cè)過(guò)程并減少獲取記錄的時(shí)間延遲，維護(hù)了MX記錄的本地?cái)?shù)據(jù)庫(kù)。該算法首先向本地?cái)?shù)據(jù)庫(kù)查詢(xún)MX記錄，如果沒(méi)有找到，則查詢(xún)域名系統(tǒng)，并將該值存儲(chǔ)在本地?cái)?shù)據(jù)庫(kù)中。

3實(shí)驗(yàn)測(cè)試與分析

3.1實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)在Windows10操作系統(tǒng)上使用Chrome瀏覽器來(lái)完成，硬件配置如表2所示。

測(cè)試中用戶(hù)同時(shí)收到了真?zhèn)?種類(lèi)型的電子郵件，從常見(jiàn)和流行的電子郵件應(yīng)用發(fā)送了真實(shí)的電子郵件，通過(guò)提供匿名電子郵件服務(wù)網(wǎng)站向我的電子郵件ID發(fā)送了偽造的電子郵件。真實(shí)的郵件由Gamil，Yahoo，Rediffmail三種流行的電子郵件服務(wù)發(fā)送，偽造的電子郵件由Anonymailer發(fā)送。

3.2性能測(cè)試

通過(guò)Accuracy和F1-Score兩個(gè)指標(biāo)來(lái)評(píng)估本文提出方法的性能，參數(shù)包括郵件的真陽(yáng)性（TP）、真陰性（TN）、假陽(yáng)性（FP）和假陰性（FN）。

使用3個(gè)案例場(chǎng)景進(jìn)行測(cè)試，案例1發(fā)送了所有真實(shí)的電子郵件；案例2發(fā)送了所有偽造的電子郵件；案例3發(fā)送了二者都包含的混合郵件。對(duì)于這3種情況，本文提出方法的性能指標(biāo)分析如表3所示。

由表3可以看到，本文方法在真?zhèn)梧]件各占比50%的情況下Accuracy和F1-Score分別為98.04%和99.01%，說(shuō)明準(zhǔn)確率還是非常高的，當(dāng)全部為欺騙郵件時(shí)，Accuracy和F1-Score分別為96.15%和99.01%，說(shuō)明誤報(bào)率比較低。

3.3開(kāi)銷(xiāo)分析

開(kāi)銷(xiāo)分析是通過(guò)考慮系統(tǒng)資源利用率、處理開(kāi)銷(xiāo)和時(shí)間來(lái)進(jìn)行的，測(cè)試數(shù)據(jù)包括中央處理器利用率、內(nèi)存利用率和磁盤(pán)利用率的平均值，以及程序執(zhí)行過(guò)程中所用的時(shí)間，如圖4所示。

由圖4可以看到，從獲取進(jìn)程內(nèi)存轉(zhuǎn)儲(chǔ)到檢測(cè)電子郵件欺騙并將其保存到日志文件的整個(gè)過(guò)程大約需要1 min，而相關(guān)的資源開(kāi)銷(xiāo)比較低。

4結(jié)束語(yǔ)

內(nèi)存取證技術(shù)保證了用戶(hù)在物理內(nèi)存中的操作得以復(fù)現(xiàn)，本文利用內(nèi)存取證技術(shù)來(lái)獲取瀏覽器的實(shí)時(shí)進(jìn)程，提取電子郵件頭進(jìn)行分析，采用Message-ID檢測(cè)，結(jié)合nslookup查詢(xún)提取MX記錄來(lái)檢測(cè)和識(shí)別電子郵件欺騙。實(shí)驗(yàn)測(cè)試和分析結(jié)果表明，本文方法可以有效檢測(cè)電子郵件欺騙，精度高、誤報(bào)少，而開(kāi)銷(xiāo)、資源消耗和對(duì)用戶(hù)系統(tǒng)正常運(yùn)行的干擾小，并且不會(huì)中斷機(jī)器的常規(guī)操作。

本文方法只在基于網(wǎng)絡(luò)的電子郵件系統(tǒng)上測(cè)試了電子郵件欺騙，未來(lái)的工作將是擴(kuò)展和包括電子郵件客戶(hù)端應(yīng)用程序，如Outlook和Thunderbird的檢測(cè)。另外，為了進(jìn)一步減少檢測(cè)時(shí)間，需要識(shí)別與電子郵件相關(guān)的瀏覽器的確切過(guò)程。

參考文獻(xiàn)

[1]張如旭.2021電子郵件安全的五大趨勢(shì)[J].計(jì)算機(jī)與網(wǎng)絡(luò)， 2021，47（1）：52-53.

[2] KOVEN J， BERTINI E， DUBOIS L，et al. InVest：Intelligent Visual Email Search and Triage[J]. Digtial Investigation， 2016，18（6）： S138-S148.

[3] SZDE Y. Covert Communication by Means of Email Spam： A Challenge for Digital Investigation[J]. Digtial Investigation， 2015，13（6）：72-79.

[4]劉奇?zhèn)?電子郵件真實(shí)性技術(shù)分析[J].計(jì)算機(jī)與網(wǎng)絡(luò)， 2015，41（2）：70-72.

[5] HU Hang， PENG Peng， WANG Gang. Towards Understanding the Adoption of Anti-spoofing Protocols in Email Systems[C]//Proceedings of 2018 IEEE Cyber Security Development Conference. Cambridge： IEEE， 2018：94-101.

[6]張瑜，劉慶中，李濤，等.內(nèi)存取證研究與進(jìn)展[J].軟件學(xué)報(bào)， 2015，26（5）：1151-1172.

[7] RAYMOND L. A Multidisciplinary Digital Forensic Investigation Process Model[J]. Business Horizons， 2016，59（6）：593-604.

[8] PARRA B， VEGETTI M ，LEONE H. Advances in the Application of Ontologies in the Area of Digtial Forensic Electronic Mail[J]. IEEE Latin America Transactions，2019，17（10）：1694-1705.

[9] JAY K， CRISTIAN F，HOSSEIN S. Lessons Learned Developing a Visual Analytics Solution for Investigative Analysis of Scamming Activities[J].IEEE Transactions on Visualization and Computer Graphics，2019，25（1）： 225-234.