通過流量分析發現內網郵箱賬號被盜

問題描述

某政府單位按照等保要求部署了安全防御產品，但通過科來網絡回溯分析系統對流量進行分析后發現郵箱服務器發起了大量對外網郵箱的郵件，發送郵件頻率高。

分析結論

對存在相同行為的賬號進行審查與分析，發現內網多個賬號已被盜，需要對這些賬號進行重置，并更新病毒庫對全網機器進行殺毒，并對郵箱服務器進行升級。

價值

通過網絡分析對網絡流量中隱蔽的可疑行為進行發現和分析，并借助回溯分析回查評估過去一段時間的攻擊影響和取證，制定針對性的防御策略，及時止損。當前網絡安全是動態的，網絡安保工作需從被動防御上升到主動防護。目前網絡安全等級保護已進入2.0時代，網絡全流量回溯分析技術是打造主動防御體系與等保2.0合規的技術手段。

分析過程

通過回溯分析對某天夜間的流量進行分析后發現夜間存在大量的Email流量，展開Email流量查看產生Email流量的通訊會話，發現均為郵箱服務器與公網地址的通訊。如圖1、圖2所示。

圖1 展開Email流量查看

圖2 展開Email流量查看

對這段郵箱服務器和外網地址的通訊內容進行還原，可見內部郵箱賬號給外網郵箱發送郵件的過程，該行為發生在夜間且發送頻率很高，郵件發送到多個外網郵箱，行為可疑。如圖3所示。

圖3 還原發送郵件過程

還原郵件內容，發現均為推廣、賭博等廣告郵件，由此確認該郵箱賬號被盜。