aditya Blog Banner

通过简单邮件传输协议(SMTP)进行数据外渗是攻击者用来将敏感或机密信息从被入侵系统传输到外部位置的一种有效方法。SMTP 是标准的电子邮件通信协议,攻击者选择 SMTP 进行数据外渗,是因为它在通常允许的端口(如端口 25、465 或 587)上运行。然而,尽管存在这些危险,它在企业环境中很少被阻止。

IT 安全专业人员和网络管理员必须监控 SMTP 流量,因为攻击者可以滥用该协议,将敏感数据编码到电子邮件附件或正文内容中,然后发送到他们控制的外部电子邮件账户。由于 SMTP 流量通常使用 STARTTLS 或 SMTPS 等协议进行加密,因此可以绕过许多未配置为检查加密流量的传统网络监控工具。此外,企业工作流程中对电子邮件的合法使用也会降低入侵检测系统对通过 SMTP 外渗的怀疑程度,尤其是当攻击者将外渗数据与合法电子邮件活动混合在一起时。

早些时候对 Snake 载入器和键盘记录程序代码进行了分析,重点介绍了其技术和战术。今天,Aryaka 威胁研究实验室将分析蛇键盘记录程序在数据外泄前使用的基于 SMTP 的数据外泄机制。

攻击者通常利用受损的电子邮件帐户(通过网络钓鱼或凭证盗窃)发送电子邮件,使活动看起来合法,以增加成功的可能性。另一种策略是使用专门制作的恶意软件自动进行数据收集、编码和外泄,通常配置为直接与 SMTP 服务器交互。这种恶意软件可能包括定期检查连接性或动态更新电子邮件收件人地址的机制,以规避拦截列表。

img4

图 1:运行蛇形信息窃取程序的被入侵系统触发的 SMTP 通信

让我们通过分析 TCP 会话流来了解完整的工作流程。

  • 运行 snake infostealer 的入侵系统会发送 EHLO(扩展 HELO)命令,向服务器表明客户端身份,并表示支持扩展 SMTP (ESMTP) 功能。
  • AUTH命令启动在受威胁系统上运行的 SMTP 客户端与 SMTP 服务器之间的身份验证过程。它支持各种认证机制,可向 SMTP 服务器提供认证凭证。它确保只有运行 snake infostealer 的授权系统才能通过服务器转发电子邮件。c2VuZGVyQGluaG91c2VwaWNrLmNvbQ==”解码为[email protected]”。密码字符串 “IyhQJWVPXiNKMA==”解码为 “#(P%eO^#J0″。身份验证完成后,远程服务器会成功验证从运行 snake infostealer 的入侵系统发起的连接。它将等待下一步操作。图 2 验证了这一机制。

img1
图 2:SMTP 验证命令交换

身份验证后,被入侵的系统会发送 “MAIL FROM “命令,突出显示电子邮件的发件人[email protected]”。同样,”RCPT TO “命令会突出显示电子邮件的接收方,在本例中为[email protected]”。250 OK “响应表明服务器接受了命令。图 3 显示了被入侵系统如何使用 “DATA “命令从被入侵系统中窃取信息,如图 3 所示。

img2
图 3:SMTP:使用 DATA 命令进行数据外泄

DATA 命令向 SMTP 服务器发出客户端可以传输电子邮件内容的信号。一旦命令发出且服务器做出肯定回应,客户端就会发送电子邮件的标题和正文,并以特定的分隔符结束传输。在安装了蛇形信息窃取器的被入侵系统上运行的 SMTP 客户端会发送 “DATA “命令,远程服务器会回应一个 354 代码,表示已准备好接收邮件内容。一旦数据被窃取,客户端就会发出 “QUIT”(见图 4)命令来截断 SMTP 会话。我们可以发现,蛇形信息窃取器窃取的敏感数据是通过 SMTP 通道外泄的。

img3
图 4:成功渗透后 SMTP 连接关闭

您可能已经注意到,被入侵的 snake infostealer 系统没有使用 STARTTLS,而是通过网络以未加密格式发送所有命令和邮件内容,包括潜在的敏感邮件头、正文内容和验证凭证。系统使用 SMTP AUTH 登录邮件服务器,但未使用 STARTTLS,因此用户名和密码以纯文本形式传输。

由于企业环境普遍允许使用 SMTP,除非密切监控,否则这种活动可能会被忽视。通过小块发送数据或伪装成合法电子邮件,攻击者可以躲避入侵检测系统(IDS)或数据丢失防护(DLP)工具的检测。

统一 SASE 即服务如何帮助减少 SMTP 漏洞?

统一安全访问服务边缘(SASE)框架集成了网络安全和零信任访问控制,可保护企业免受数据外泄,包括针对 SMTP 流量的威胁。SASE 提供集中可视性和监控功能,使安全团队能够发现异常情况,如电子邮件活动突然激增或连接到不受信任的外部邮件服务器。

通过在所有流量(包括电子邮件通信)中应用一致的安全策略,Unified SASE 可确保实时检测和阻止未经授权的 SMTP 流量、恶意附件和外发数据泄漏,从而提供即时的安全性。SASE 的内容检查功能可防止敏感数据通过 SMTP 外泄。它可以检查出站电子邮件,检测敏感信息(如信用卡号码、知识产权或个人识别信息)的模式,并自动阻止未经授权的传输。