网易邮箱在2015年10月14日被全面暴力破解,以网易邮箱注册或者与其关联的任何账号都受到安全威胁,包括苹果Apple ID、微博、支付宝、百度云盘、游戏等等。
邮件系统是企业单位最经常使用的网络应用之一。邮件系统中一般有客户的关键信息,一旦邮件系统瘫痪或被黑客掌控,那么就会给企业带来重大损失。
客户为某大型保险公司,邮件系统是该单位使用最为频繁的系统之一。该单位邮件系统分为两种:WEB登录方式和使用标准的SMTP POP3协议收发方式。科来网络回溯分析系统部署在数据中心的核心交换机上,通过span将DMZ区的所有服务器流量引入回溯系统进行分析。
1过程分析
在9月20日针对该用户进行网络分析时发现其分公司的一些IP在进行针对邮件服务器的暴力破解攻击。我们选择2天时间窗口,然后选择9月19日上午的数据进行分析。点击“发tcp同步包”选项进行排名,我们发现IP 10.XX.200.66的流量只有9.35MB,但“tcp发送同步包”却排名第三位,达到了20592个。这种TCP会话很多,流量又特别小的IP比较异常。我们选择下载分析该IP数据包,进行深入分析。
下载该IP的通信数据后我们发现,该IP在9月19日上午对邮件服务器发起近超过2万次TCP请求,而且密集时候每秒能发送100多个TCP同步包。如下图:
图 1
如下图,我们看到IP10.XX.200.66在很短时间内向mail服务器10.64.4.3做了多次重复的会话,从行为上来看,10.XX.200.66在向mail服务器进行请求,但又始终不发送三次握手中最后的ACK数据包,这样导致它与服务器的TCP会话始终无法建立,而且服务器为了等待200.66回送ACK会消耗一定的系统资源,这样高的频率的不正常的请求访问,就造成了对mail服务器的DOS攻击。
图 2
而200.66在与服务器建立的成功的会话中也是较大异常的,通过“HTTP日志”分析我们可以看到以下不正常现象,如下图:
图 3
我们看到200.66的每次访问的URL是一模一样的,而且出现每秒钟多达10次以上的访问,从该频率看不是人为访问,应该是病毒程序自动访问导致。分析这个URL发现打开后是mail服务器的WEB登录界面。因此我们可以认为这种行为应该是在进行密码尝试。
同样的本次分析发现服务器段的IP 10.XX.5.2也在想mail服务器进行密码尝试行为,如下面两幅图。
图 4
图 5
2分析建议
通过以上针对mail服务器的分析我们发现,网络中存在很多针对mail服务器的不正常会话,这些会话对mail服务器形成了攻击。攻击以DOS和用户名密码的猜测较多,属于渗透攻击。
这些攻击猜测行为一旦被取得真实的用户名和密码后,就能够对mail服务器做数据偷窃,那么每封mail的信息将会没有秘密可言。(例如,黑客攻击得到了mail服务器的用户名和密码后可以潜伏到网络中侦听他想要的信息,造成信息窃密的发生,对公司业务造成损失)
建议加强mail服务器的防护,并对攻击者强制杀毒,并在防火墙上做一些TCP会话的强制会话时间限制。(例如:在防火墙上做策略,使mail每次TCP会话空闲时间不超过2秒,如果2秒得不到ACK回应则重置会话)
下期案例预告我们将近一步针对邮件系统攻击中的蠕虫病毒进行实战案例解析,敬请期待! |
发表于 2016-5-6 17:13:27
