邮箱被盗事件频频发生,内部邮箱账号被盗可能导致内部重要信息泄漏、发送垃圾邮件等严重安全问题,更可怕的是密码被盗网络管理人员却不知道,那内部重要的网络资产无异于“裸奔”。下面这篇文章告诉你,我们应通过何种方法快速准确的知道我们的邮箱是否安全并快速响应,维护邮箱账号的安全。
问题描述
某政府单位按照等保要求部署了很全面的安全防御产品,但通过科来网络回溯分析系统对流量进行分析后发现邮箱服务器发起了大量对外网邮箱的邮件,发送邮件频率非常高。
分析结论
对存在相同行为的账号进行审查与分析,发现内网多个账号已被盗,需要对这些账号进行重置,并更新病毒库对全网机器进行杀毒,并对邮箱服务器进行全面升级。
价值
通过网络分析对网络流量中隐蔽的可疑行为进行发现和分析,并借助回溯分析回查评估过去一段时间的攻击影响和取证,制定针对性的防御策略,及时止损。当前的网络安全是动态的而非静态,网络安保工作需要从被动防御上升到主动防护。现阶段网络安全等级保护已经进入2.0时代,网络全流量回溯分析技术是打造主动防御体系与等保2.0合规必备的技术手段。
分析过程
通过回溯分析对某一天夜间的流量进行分析后发现夜间存在大量的Email流量,展开Email流量查看产生Email流量的通讯会话,发现均为邮箱服务器与公网地址的通讯。
对这段邮箱服务器和外网地址的通讯内容进行还原,可见内部邮箱账号给外网邮箱发送邮件的过程,该行为发生在夜间且发送频率很高,邮件发送到多个外网邮箱,行为十分可疑。
还原邮件内容,发现均为推广、赌博等广告邮件,由此确认该邮箱账号被盗。
-END-
安全优佳
http://news.secwk.com
长按识别左侧二维码,关注我们
本文始发于微信公众号(安全优佳):如何通过流量分析发现内网邮箱账号被盗?
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论