有了郵件防火牆你就安全了嗎？想法太單純了……

我們可以注入什麼東西呢？它可以是任何MIME類型的後門，比如：

1. 勒索軟體

2. 宏病毒

3. ZIP文件

4. 釣魚攻擊代碼

在這篇文章中，稍後會介紹兩起成功的攻擊案例。

漏洞組件

幾乎所有接受入站SMTP連接的加密應用都可能受到攻擊。我們的研究還發現，不僅硬體可以被攻擊，而且虛擬主機同樣會受到危害。

漏洞修復

據我們目前了解，我們沒有發現可以完全防禦這種攻擊的補丁。我們目前只確定了兩種解決方法：

1. 完全禁用掉網關到網關之前的加密服務。

2. 實施郵件檢測方案，執行郵件的解密以及威脅檢測工作。

修復這個漏洞沒有快速解決方案。所以公司需要投入一定的時間以及人力去尋找有效的防護措施。

漏洞詳情

眾多的郵件加密應用使用如下兩種方式部署：

1. 郵件加密應用以及郵件安全網關都在公司防火牆內部。這些MTA都會被分配給一個獨立公開的IP地址。攻擊者可以繞過郵件安全網關，直接到達郵件加密應用，將後門注入到郵件中。然後這些信息通過路由器到達內部網路，並在內網中傳播。

2. 郵件加密應用在郵件安全防火牆之外，就像微軟線上防護(EOP)一樣。同樣的，這些MTA也會被分配給一個公開的獨立IP，攻擊者同樣可以直接到達加密應用，將後門注入到郵件中。郵件加密應用將所有郵件進行解密，然後發送到郵件安全網關。但是當安全網關進行郵件檢測時，發送者的IP是加密應用的IP，而不是攻擊者IP，所以防護措施這時是無效的。

攻擊模擬

注意：這裡為了保護目標公司不受到攻擊，我們採用了無效的郵箱進行攻擊。並且我們只是進入到內部SMTP伺服器中，確保任何用戶不會執行我們的後門。

實驗一:攻擊成功

環境：Microsoft Exchange伺服器，電子郵件加密設備

我們攻擊的目標是使用了WatchGuard作為郵件安全網關對Exchange伺服器進行保護的。

步驟一：選擇攻擊目標

Excelsior Springs醫院,位於 Excelsior Springs MO，具有400位職員。

步驟二：收集信息

在選中目標之後，我們使用自動收集信息腳本收集關於目標郵件伺服器架構的公開信息。腳本首先確定了目標的MX記錄。

接下來使用暴力破解對電子郵件加密設備進行查找，這樣我們可以找到所有子域名以及其對應的MX記錄。

然後我們使用設備搜索工具去測試我們找到的所有MTA，確定它們的25埠是否開啟。最後為了快速的找到這個公司的有效郵箱，我們使用了whois進行查找。

最後我們找到了ArtGentry的一個郵箱:

步驟三：對電子郵件進行測試發送

我們發送一個沒有任何危害的載荷，這會讓我們了解到目標郵件安全網關以及內部郵件伺服器是如何處理信息的。你可以看到，郵件安全網關接受了這一郵件。

我們郵件已經到達了目標內部郵件伺服器，然後會發送到用戶郵箱中。因為我們填寫的是無效的郵箱，所以目標的郵件伺服器會返回給我們」目標不可達」的錯誤信息。NDR最大的危害在於他們常常暴露太多內部網路的信息。在此次攻擊中，NTR暴露了目標網路內部的以下內容：

WatchGuard Email Security Gateway

Microsoft Exchange Server 2010 with IP address 10.2.100.253

virusTotal對惡意軟體進行分析的SHA256,以及名稱如下所示：

URL: hxxp://LASVEGASTRADESHOWMARKETING.COM/file.php?

document=MzM2MGFteUBrb250cm9sZnJlZWsuY29tMjEzNQ==

VirusTotal』s URL Analysis

Binary: Legal_acknowledgement_for_amy.doc

SHA256: 39cb85066f09ece243c60fd192877ef6fa1162ff0b83ac8bec16e6df495ee7af

VirusTotal』s Binary Analysis

不出所料，目標的郵件安全網關識別出了惡意軟體，並且攔截了此條信息。

步驟五：進行拆分SMTP隧道攻擊

在確認郵件安全網關能夠識別惡意以及正常郵件之後，我們進行拆分SMTP隧道進行攻擊。我們對之前步驟中的惡意郵件進行重新發送。但是這一次我們直接到達了目標郵件加密設備，而不是到達郵件安全網關。並且郵件加密設備接受了這一惡意軟體，並對他進行加密(如圖中:250 2.0.0 Ok: queued as 3BE32281A62)：

在之前的測試中，當郵件通過目標Exchange伺服器發送到用戶郵箱時，如果用戶郵箱不存在，那麼就會返回」不可達」錯誤信息。你可以在下圖中發現我們收到了Exchange伺服器返回給我們的NDR，就說明我們的攻擊已經成功了。此外NDR缺少」「X-WatchGuard」標頭也表示了我們繞過了目標郵件安全網關。

此攻擊演示了攻擊者如何使用拆分隧道SMTP來利用電子郵件加密設備中的漏洞。

實驗二：攻擊成功

實驗環境：微軟office365，託管電子郵件加密

第二次攻擊是針對微軟office365的用戶。與第一次攻擊不同的是office郵件加密設備之後部署了office365,以便通過EOP防護進行保護郵件安全。不幸的是，這種架構同樣容易受到攻擊。

步驟一：選擇攻擊目標Christiana Care Health System，位於 Wilmington, DE，擁有11500名職員。

接下來，我們再一次使用暴力破解對目標郵件加密設備進行查找。為了要找到託管的程序，我們通過判斷MX記錄是否和目標域名相等來確定，如下圖。

和第一次攻擊方法一樣，我們使用掃描器判斷我們掃描到的主機25埠是否開啟。

最後，為了證明會找到一個可用的郵箱是多麼簡單，我們只是對目標的公共域名進行whois查詢，就可以得到有效郵箱。我們發現屬於Karen Kedda的郵箱，並且我們通過google，找到了她的Linkedln名片，了解到她是目標公司的系統架構師。

步驟三：發送測試郵件

這一步驟和攻擊一中作用完全一致，會了解到office365對郵件的設置。如下圖，office365接受了我們的郵件。

郵件內容：

因為我們填寫的收件人是不存在的，所以我們會收到office365返回的」不可達」錯誤信息。你可以通過NDR清楚的看到office 365的EOP使用我們IP(80.82.x.x)對郵件入站威脅分析，以及病毒掃描。

步驟四：發送惡意電子郵件進行測試

與第一次步驟相同，這次惡意郵件同樣被攔截了。

步驟五：進行拆分SMTP隧道攻擊

已經確認Office365會對我們發送的惡意郵件進行攔截，那麼我們現在測試拆分SMTP隧道攻擊。我們對上述惡意郵件發送到目標託管的郵件加密設備，而不是EOP。然後目標託管的加密設備接受了我們發送的惡意郵件，然後進行加密，如下圖：

所以我們攻擊再次成功 ：）

結論

現在網路攻擊越來越頻繁，並且攻擊越來越複雜。在之前的文章中，我提到了2016年一年超過了40億條信息遭到了泄漏，已經超過了前兩年的總和。而且Experian的2017數據泄露行業預測，2017年網路攻擊將持續上升，醫療保健是第一大目標。

本文翻譯自：

https://blog.securolytics.io/2017/05/split-tunnel-smtp-exploit-explained/

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！