問題描述

某政府單位按照等保要求部署了安全防御產(chǎn)品，但通過科來網(wǎng)絡回溯分析系統(tǒng)對流量進行分析后發(fā)現(xiàn)郵箱服務器發(fā)起了大量對外網(wǎng)郵箱的郵件，發(fā)送郵件頻率高。

分析結論

對存在相同行為的賬號進行審查與分析，發(fā)現(xiàn)內(nèi)網(wǎng)多個賬號已被盜，需要對這些賬號進行重置，并更新病毒庫對全網(wǎng)機器進行殺毒，并對郵箱服務器進行升級。

價值

通過網(wǎng)絡分析對網(wǎng)絡流量中隱蔽的可疑行為進行發(fā)現(xiàn)和分析，并借助回溯分析回查評估過去一段時間的攻擊影響和取證，制定針對性的防御策略，及時止損。當前網(wǎng)絡安全是動態(tài)的，網(wǎng)絡安保工作需從被動防御上升到主動防護。目前網(wǎng)絡安全等級保護已進入2.0時代，網(wǎng)絡全流量回溯分析技術是打造主動防御體系與等保2.0合規(guī)的技術手段。

分析過程

通過回溯分析對某天夜間的流量進行分析后發(fā)現(xiàn)夜間存在大量的Email流量，展開Email流量查看產(chǎn)生Email流量的通訊會話，發(fā)現(xiàn)均為郵箱服務器與公網(wǎng)地址的通訊。如圖1、圖2所示。

圖1 展開Email流量查看

圖2 展開Email流量查看

對這段郵箱服務器和外網(wǎng)地址的通訊內(nèi)容進行還原，可見內(nèi)部郵箱賬號給外網(wǎng)郵箱發(fā)送郵件的過程，該行為發(fā)生在夜間且發(fā)送頻率很高，郵件發(fā)送到多個外網(wǎng)郵箱，行為可疑。如圖3所示。

圖3 還原發(fā)送郵件過程

還原郵件內(nèi)容，發(fā)現(xiàn)均為推廣、賭博等廣告郵件，由此確認該郵箱賬號被盜。