WhiteMail
返回部落格
·WhiteMail 資安團隊#explainer#glossary#detection

資安術語解析——什麼讓一封郵件「惡意」:IOC、異常徵兆、行為、意圖

資安工具無一例外都聲稱能找出「惡意」郵件,但每家所指的意涵各不相同。其底層其實是四個不同的問題,大致依照被規避的難易度排列。而現代攻擊正是為了撐過前三個問題而設計的。

四個問題

  • IOC(入侵指標, Indicator of Compromise)這是否符合已知為惡意的某項事物? 黑名單上的網域、已知的惡意檔案雜湊、被標記的發送 IP。快速且精確,但成效完全取決於清單的品質,對於全新的事物則束手無策。
  • 異常徵兆(Anomaly)這在統計上是否罕見? 來自新國家的登入、從未見過的發信者、異常的發送時間。異常徵兆能揭露新穎之處,但大多數的新穎其實無害,因此單獨使用只會製造雜訊。
  • 行為(Behavior)這是否偏離了已確立的模式? 關係中途突然更改入帳帳戶的往來客戶、從未要求購買禮品卡的同事現在卻這麼要求。行為式偵測需要脈絡——一個關於「正常」曾經是什麼樣子的模型——而它正是在這一點上變得強大。
  • 意圖(Intent)這則訊息實際上想讓人去做什麼? 讓人轉錢、輸入憑證、繞過安全步驟、在確認之前先行動。意圖是從訊息的含義中讀出的,而非從中繼資料。

為什麼順序很重要

每個問題都比前一個更難被規避。攻擊者可以輕易地用全新的基礎設施來避開 IOC。透過在統計上表現得正常,就能隱身於異常徵兆之中。有時甚至能停留在預期的行為範圍內——VEC 正是如此,因為它搭乘的是真實帳號,所以呈現出看似已確立的行為。

但攻擊者無法在不移除攻擊本身的情況下移除意圖。如果一封郵件需要讓人轉錢或交出憑證,那麼無論指標多麼乾淨、統計數據多麼平凡、帳號多麼真實,那個目的都仍在那裡。意圖是唯一一個攻擊者無法在成功的同時「無辜地」回答的問題。

這與 WhiteHat 如何契合

因此 WhiteHat 不依賴任何單一問題。SA-02 檢視基礎設施指標,SA-01 檢視發信者行為與身分,SA-03 檢視連結,SA-04 檢視意圖。而協調者則將這些結果對照,整合成一個判定。較深層的問題能抓住較淺層問題所遺漏的東西,而較淺層的問題則在適用之處增添精確度。

用一句話概括整個產業正在經歷的轉變:從比對已知的惡意事物,轉變為調查訊息真正的意圖。


想針對一則真實訊息,一次看到這四個問題的答案嗎?到分析主控台確認看看。