【邮件安全须知】绿盟助你阻止恶意宏代码蔓延

2017年Data Breach Investigations Report报告显示：66%的恶意软件通过邮件附件方式进行感染，窃取商业机密、中断业务、破坏声誉。近年来以勒索软件为代表的邮件安全问题来势汹汹，计算机病毒较往年安全事件的占比增长速度之快，难以想象，计算机病毒的传播途径除了网站登录，三方软件安装等这些的途径之外，邮件携带也是一个主要传播途径，近期绿盟科技安全顾问就通过一封邮件及时发现并阻止某企业文件服务器恶意宏代码事件的蔓延。

事件还原

绿盟科技技术人员在接收某企业用户日常邮件过程中，部署在绿盟科技网络出口的威胁分析系统（TAC-E）发出邮件隔离告警，提示客户邮件附件中存在恶意宏代码，通过威胁分析系统提取附件文档分析，使用olevba工具验证了压缩包中几个文档存在恶意宏代码。

威胁分析报告

宏病毒会感染DOT模板文件，恶意文件感染Normal Template模板，如果打开其他活动文档，会将本身代码进行复制到活动文档来感染。

摘录的样本代码可以看到以下一段感染代码，Word宏病毒一般都首先隐藏在一个指定的Word文档中，一旦打开这个文档，宏病毒被执行，宏病毒要做的第一件事就是将自己拷贝至全局宏区域，使得所有打开的文档都可以使用这个宏，全局宏将被存储在某个全局的模板文档（.dot）中，如果全局宏模板被感染，则Word再启动的时候将自动载入宏病毒并且自动执行。

原因构成分析

绿盟科技技术人员前往现场处置时发现该文档出自于某重要文件服务器，并且已经存在大量感染的文档。剖析了几个成因：

 1.企业网络出口部署了防火墙、IDS、IPS、WAF、邮件安全网关来建构其核心检测能力，这些产品依靠已知攻击特征码进行模式匹配来检测已知的网络攻击，在一些特定情况下，针对新的未知攻击没有招架之力；

2.企业办公终端统一安装国外某品牌杀毒软件，文档使用过程中未产生过告警，通过上传Virus total平台发现该品牌杀毒引擎未能检测出该恶意代码文件；

3.Linux的招投标服务器未安装杀毒软件。

防护思路

在下一代威胁背景下，我们发现基于签名的检测方式有很多不足，并不能防止重大网络危害的发生，恶意样本数量的急剧增加，而防病毒签名匹配引擎在性能上无法承受，防病毒厂商有过亿数量的样本库，检测引擎因为性能问题只能加载极少的部分，导致样本不能及时检测。通过威胁分析系统（TAC-E）与现有的邮件安全网关联动检测的方式，利用虚拟执行沙箱技术能够有效的提升邮件安全威胁检测能力。

同时可以通过绿盟下一代威胁防御解决方案（简称NGTP）全面有效的对APT威胁检测和防御。网络、Web、邮件和终端等，都是APT威胁可能利用的通道，NGTP解决方案，不仅在网络边界进检测和防御，还在企业内网，邮件服务器，终端等多个层面进行检测和防御。利用本地沙箱和云端安全信誉，有效地对APT威胁检测和防御。既能够实时进行检测和阻断，还利用大数据分析平台，进行事后的分析和调查。

总结

2017年底，由公安部牵头，会同工信部和国家保密局在全国部署开展了党政机关、事业单位和国有企业互联网电子邮件系统安全专项整治行动。绿盟科技的完善的邮件安全解决方案，可以满足主管机构的指导安全要求，同时能够帮助企业邮箱达到多重安全机制保障，稳定运行。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP