我们最近在发送垃圾邮件的网络上遇到了一个问题。服务器本身显示很少的传出流量,只有大量传入的邮件管理员投递失败消息。日志几乎没有显示任何内容,甚至在服务器上捕获数据包也几乎没有显示任何有用的信息供我筛选。
该公司最终被列入黑名单,我们随机检查了所有计算机,幸运的是,很快就感染了该计算机。网络上的一台计算机有一个 root-kit,它很可能以假冒电子邮件服务器的身份发送电子邮件。无论如何,这就是我从这种情况中得出的结论。
我认为自己在网络方面非常擅长,我看不出病毒为什么不能简单地从网络中的工作站向另一台服务器发送电子邮件,假装是本地域,并成功穿透垃圾邮件过滤器。假设 Exchange 服务器在同一个 IP 地址下运行(并且在这个位置它确实如此)
所以,这是一个由两部分组成的问题,1. 我是否遗漏了电子邮件系统的某些部分,导致无法实现这一点,而我是否找错了方向?2. 如果我是对的,并且是“假电子邮件服务器”发送了这些电子邮件,那么如果我通过防火墙阻止所有流量通过目标端口,而这些流量不是来自该服务器,是否会出现任何问题?
我刚开始做网络管理员,所以可能有点儿不太清楚,但这个问题已经困扰我一个星期了。天哪,据我所知,所有垃圾邮件病毒都是这样工作的(我以为它们通常会通过主交换服务器)
任何关于这个主题的建议都会受到赞赏,在网上快速搜索并没有找到很多关于“流氓 smtp 服务器”的信息,除非在一个需要你拥有会员资格才能查看答案的网站上(我们都知道那地点)
答案1
仅供参考,恶意程序可以修改数据包的源/目标端口/IP。它们不一定能够欺骗路由器上的智能 SPI(除非路由器被感染),但它们有时可以通过更改 IP 标头或 TCP 标头(如果是端口)来规避简单的防火墙规则。
至于您的问题——恶意软件作者会认为任何类型的服务器(尤其是邮件服务器)都比简单的工作站更有价值。这是因为服务器在网络中天生就比客户端更受信任。仅感染邮件服务器软件本身并没有多大用处,但您也可以通过感染服务器来调整防火墙设置并发送组织所有电子邮件流量(入站和出站)的副本。
如果他们的目标只是发送电子邮件,那么当然,最简单的方法就是搭载用户现有的邮件发送程序,并且邮件服务器不会更明智,除非它在发出的电子邮件中发现垃圾邮件并将其拦截。
如果他们不仅想发送电子邮件,还想了解组织内的私人通信,那么他们就会感染邮件服务器。
他们可能已经建立了自己的嵌入式 SMTP 服务器(我假设是在工作站上)的原因是,这样您就不必受制于下游 SMTP 服务器的外发垃圾邮件过滤器。作为恶意软件作者,您不想依靠绕过合法性检查,而是希望完全绕过它们。当然,许多路由器都配置为在除认证邮件服务器之外的所有路由上阻止 Exchange 和 SMTP 等邮件协议,以防止这种类型的攻击。
(下面更新)...
- 我是否遗漏了电子邮件系统的某些部分,导致无法实现这一点,而我又找错了方向?
使用用户自己的帐户凭据以授权用户的身份发送邮件是不合法的不可能的但是对于某些客户端来说,如果客户端对 Outlook 等自动化有抵抗力,那么不被发现就非常困难。您还需要为每个特定的邮件客户端编写软件,并尝试预测和避免可能触发弹出对话框的潜在问题,让用户知道潜在问题等。
我不认为你找错了对象,但是在你的恶意软件中实现微型 smtp 服务器将更有可能成功,除非设置了路由规则来阻止它(许多网络都没有,显然包括你的网络)。
- 如果我是对的,并且是一个“虚假电子邮件服务器”发送了这些电子邮件,那么如果我通过具有目标端口的防火墙阻止所有非来自该服务器的电子邮件流量,会出现什么问题吗?
这不会是一个问题,但也不会让你感到安全。
为了完全安全,你需要使用 null route全部所有端点上的流量默认情况下,并强制所有客户端使用检查所有流量并“理解”HTTP 的 HTTP 代理(以及维护良好的黑名单或允许站点的白名单)。
简单地为 SMTP 端口编写路由规则不起作用的原因是他们可能只是使用其他端口进行恶意活动。
我们现在看到的问题是(我们 = 安全社区),新一波攻击根本不使用任何奇特的端口或协议,现在都是基于 HTTP 并通过浏览器完成的。访问 msn.com 这样无害的事情可能会导致存储型 XSS,从而导致浏览器中运行恶意 javascript,通过网络邮件发送电子邮件、窃取信息或使用本地计算资源为攻击者谋利(僵尸网络、DDoS、比特币挖矿等)。我们创造了一个怪物。即使您阻止了外部可执行文件的执行并使用智能代理锁定了网络,网络本身也几乎是一个无法真正缓解的巨大安全漏洞。