作者:coffie
网络安全向来是企业安全人员的首要工作。而重视邮件监控,则是提高企业网络安全的一个捷径。因为根据有关专家的调研,企业近80%的网络安全事故都是有病毒引起的;而这其中近五成的病毒都是通过邮件为载体进行传播的。可见对邮件进行监控的重要性。
笔者总结了一下,在日常工作中,为了保障企业网络免受病毒邮件的干扰,我们至少要对以下四项内容进行实时监控。
监控对象一:自解压可执行文件
自解压可执行文件是用压缩软件压缩成的可执行文件。他的优点就是在解压时不需要其他软件。也就是说,你可能会担心客户电脑没有安装压缩软件,而你要传给客户的文件比较大,要进行压缩。此时,你可以制作一个自解压可执行文件。当客户接收到这个文件时,即使他没有安装解压缩软件,他仍然可以看这个文件。自解压可执行文件是压缩文件的一种,他可以不用任何压缩工具,就可以进行解压。
这看起来很好的一个特性,但是却被一些非法之徒利用。表面上看起来一个自解压可执行文件没有什么不妥,图标、版权方面都没有什么问题。但是,当用户双击进行自解压的时候,这个自解压可执行文件就会被秘密分解成多个文件。用户可以看到的只是一些正常的文件。但是一些有害的代码执行文件,如让用户访问某个FTP服务器下在某个木马等等,会在用户不知不觉的情况下运行,让用户在不知不觉中受害。
所以,自解压可执行文件是非常危险的一种文件。除非你能够确保对方身份的安全,否则的话,还是不要随便打开自解压可执行文件为好。
当然,我们可以通过一些规则,来确保自解压可执行文件的安全。如我们可以通过防火墙或者其他一些安全工具,来过滤这些自解压可执行文件。不过笔者采用的方法是在企业级病毒防火墙上,设置一个策略,要求其对带有自解压可执行文件的邮件进行强制查杀。只有确保没有不良的可执行文件的情况下,用户才能够从邮件中打开这个自解压可执行文件。否则的话,就会被过滤掉。
监控对象二:宏
邮件宏其实是一个很不错的工具,可以帮助我们来对员工进行规范化的管理。如有些企业规定员工在发送邮件的时候,必须带有签名档。若违反这个规则,则可能受到相关的惩罚。其实,我们可以利用宏来对用户的邮件是否有签名档进行强制认证。当用户想要发送端邮件没有签名档的话,就被拒绝发送。可见,宏的作用还是非常巨大的。
但是,真所谓钱没有好坏,就可以怎么用。宏这个特性,也被人家用来传播不良代码的一个工具。如有些人会在邮件中加入一些宏。通过这些宏可以帮助他们实现一些特殊的功能。
如前段时间出现过一个名叫W97M.Kukudro.C的病毒,就是一个邮件宏病毒。当用户打开带有这个病毒的邮件时,病毒会在注册表中创建某些项,并会在系统目录下创建一些文件。更重要的是,他会自动连接到某个网站去下载一些病毒来执行。
由于宏病毒的隐藏性比较好,一般用户很难判断在邮件中是否包含有宏文件。即使用户觉得邮件中有宏文件,但是,用户也不知道这个宏文件是恶意的还是善意的。所以,宏病毒是目前邮件病毒的主要形式之一。
笔者目前的策略是,当监测到有宏文件时,邮件系统会先判断,这个宏文件中是否带有已知的病毒。若有,就会直接把这封邮件咔嚓掉。若没有已知病毒的话,则也会提醒用户,这封邮件带有宏文件,用户在查看这封邮件时要三思。同时,强制各个客户端的病毒防火墙必须要启用这项监控。坚决禁止用户怕麻烦,把这项监控禁用掉。
另外还有一些企业,是明确禁止在附件中带有DOC 格式的文件。若有附件,则必须是TXT格式的附件。这也主要是担心在DOC 格式中带有宏病毒。我们都知道,Word文件本身就是一个很好的宏编辑器。
监控对象三:带壳文件
金蝉脱壳的故事相信很多人都知道。他的原意是寒蝉在蜕变时,本体脱离皮壳而走,只留下蝉蜕还挂在枝头。其实,这个不但在动物界存在,在我们病毒的攻防战中也存在。
在有些计算机软件里有一段专门负责保护软件不被非法修改或者反编译的程序。他们一般先于程序运行,拿到控制权,然后完成他保护软件的目的。也就是说,壳的主要目的就是用来保护、隐蔽壳内文件的作用。当加壳后的文件执行时,壳这一段代码优先于源程序运行。他把压缩、加密后的代码还原成原始程序代码,然后再把执行权交还给原始代码。故一般认为,加壳技术是一门很正派的武功。只是其被邪派的人掌握了之后,味道就变了。经过加壳的一些病毒俄五年间,能够绕过杀毒软件和防火墙侵入电脑。虽然说,目前的杀毒软件可以查杀已知的加过壳的病毒文件。不过,防杀技术永远跟不上壳新技术的。
笔者在网络中,对于带壳文件的监控也是非常严格的。通常情况下,企业防火墙只要发现用户邮件中包含带壳的文件,则防火墙一点都不会客气,直接把这个邮件拉入黑名单。严重的情况下,还会把这个发件人都拉入黑名单。
监控对象四:脚本文件
脚本文件是批处理文件的一种,是一种利用记事本等工具编写的纯文本格式保存的程序。利用脚本文件,可以让计算机进行相关的操作。脚本文件可以不经过编译而直接执行。
脚本文件若应用的好,可以帮助我们减轻平时的工作。
如我们装完XP 系统后,往往要对其进行一些额外的配置,如调整注册表相关选项等等,以提高XP 系统的性能。若一项项去调整,很明显工作量会比较大。所以笔者的做法是,把一些需要脚本的内容,写入到一个脚本文件中去。如此的话,每次安装完成系统,只需要运行一下这个脚本文件即可。
但是,脚本文件利用的不当,就成了病毒邮件。由于脚本文件可以伪装成文本文件。所以,某些用户看到是文本文件,就会毫不设防的去打开这个文件。一打开,用户就中招了。现在仍然有不少非法攻击者,通过邮件形式群发伪装成文本文件的脚本文件,来实现一些不可告人的秘密。
所以,脚本文件也是邮件病毒的几个典型代表之一。笔者在网络安全设置中,是严禁一切脚本文件。也就是说,当用户的邮件中若带有脚本文件的话,则不管三七二十一,一律封杀。若这个邮件是从内部发出去的,还会记录发送者的信息。因为笔者要根据这个信息去判断,员工是恶意的还是无意的。
当然,除了监控这些内容外还远远不够。如需要关注一些可执行的DOS文件、Linux环境下的ELF文件等等。随着病毒邮件成为危害企业网络安全的主要威胁,我们对病毒邮件已经不能够手下留情。虽然宁可杀错一千,不可放过一个,有点极端。但是,对于像上面的一些可疑的文件,我们还是要毫不手软。