WhiteMail
返回博客
·WhiteMail 安全团队#explainer#glossary#detection

安全术语解析——什么让一封邮件“恶意”:IOC、异常迹象、行为、意图

安全工具无一例外都声称能找出“恶意”邮件,但每家所指的含义各不相同。其底层其实是四个不同的问题,大致依照被规避的难易度排列。而现代攻击正是为了撑过前三个问题而设计的。

四个问题

  • IOC(入侵指标, Indicator of Compromise)这是否符合已知为恶意的某项事物? 黑名单上的域名、已知的恶意文件哈希、被标记的发送 IP。快速且精确,但成效完全取决于列表的质量,对于全新的事物则束手无策。
  • 异常迹象(Anomaly)这在统计上是否罕见? 来自新国家的登录、从未见过的发件人、异常的发送时间。异常迹象能揭露新颖之处,但大多数的新颖其实无害,因此单独使用只会制造噪音。
  • 行为(Behavior)这是否偏离了已确立的模式? 关系中途突然更改入账账户的往来客户、从未要求购买礼品卡的同事现在却这么要求。行为式检测需要上下文——一个关于“正常”曾经是什么样子的模型——而它正是在这一点上变得强大。
  • 意图(Intent)这则消息实际上想让人去做什么? 让人转钱、输入凭证、绕过安全步骤、在确认之前先行动。意图是从消息的含义中读出的,而非从元数据。

为什么顺序很重要

每个问题都比前一个更难被规避。攻击者可以轻易地用全新的基础设施来避开 IOC。通过在统计上表现得正常,就能隐身于异常迹象之中。有时甚至能停留在预期的行为范围内——VEC 正是如此,因为它搭乘的是真实账号,所以呈现出看似已确立的行为。

但攻击者无法在不移除攻击本身的情况下移除意图。如果一封邮件需要让人转钱或交出凭证,那么无论指标多么干净、统计数据多么平凡、账号多么真实,那个目的都仍在那里。意图是唯一一个攻击者无法在成功的同时“无辜地”回答的问题。

这与 WhiteHat 如何契合

因此 WhiteHat 不依赖任何单一问题。SA-02 检视基础设施指标,SA-01 检视发件人行为与身份,SA-03 检视链接,SA-04 检视意图。而协调者则将这些结果对照,整合成一个判定。较深层的问题能抓住较浅层问题所遗漏的东西,而较浅层的问题则在适用之处增添精确度。

用一句话概括整个行业正在经历的转变:从匹配已知的恶意事物,转变为调查消息真正的意图。


想针对一则真实消息,一次看到这四个问题的答案吗?到分析控制台确认看看。