IM/邮件防钓鱼
场景说明
随着即时通讯(IM)工具和电子邮件成为工作交流和文件传递的重要渠道,钓鱼攻击的威胁也在不断增加。攻击者常通过伪造可信发件人或利用恶意链接、文件来诱骗用户点击或下载,从而窃取敏感信息或传播恶意软件。
在IM或邮件中,钓鱼攻击的表现形式多种多样,例如附带看似无害的文档或压缩包,内嵌短链接或重定向链接,甚至伪装成企业官方通知的图片或PDF文件。这些看似普通的文件或URL隐藏着复杂的攻击逻辑,普通的安全检查往往难以及时识别其威胁。
为应对这一挑战,企业需要更智能、高效的检测手段,能够快速识别可疑文件或链接背后的潜在威胁。例如,在邮件网关或IM管理后台中集成文件分析API和URL检测API,可以自动化地对传输中的文件和链接进行深入检测,从而将潜在威胁拦截在用户接触之前,有效防范钓鱼攻击。
使用的X情报API
文件分析API:
URL检测API:
核心字段
threat_level:威胁等级。(malicious恶意,suspicious可疑,clean安全)
malware_type:病毒类型,如DoS等。
malware_family:病毒家族,如Xorddos等。
具体使用方法
使用步骤说明
- 捕获可疑文件和链接
-
可疑文件:从邮件附件、IM消息中提取待分析的文件。例如,常见的文件类型包括应用程序(EXE)、压缩包(ZIP/RAR)、文档(PDF/Word/Excel)等。
-
可疑链接:从邮件正文或IM消息中提取URL或短链接,同时解析可能存在的重定向地址。
-
调用API进行威胁检测
(1) 文件检测:提交文件分析
- 调用场景: 针对提取出的可疑文件,调用文件分析接口进行检测。
- 操作步骤:
- 使用文件哈希值(SHA256/MD5/SHA1)作为参数调用接口。
- 接口返回结果包括文件的静态信息、动态行为分析等。
- 示例应用:
- 邮件网关拦截附件并检测其是否包含宏病毒或恶意脚本。
- IM后台扫描传输中的文件是否为已知恶意样本。
(2) URL检测:提交URL分析
- 调用场景: 针对提取出的可疑URL,调用URL分析接口进行检测。
- 操作步骤:
- URL分析API将使用多款URL扫描引擎检测其信誉,并对关联文件进行分析。
- 返回结果包含检出类型(是否为钓鱼链接、恶意软件链接等)、URL威胁等级、下载文件的沙箱分析报告等。
- 示例应用:
- 对邮件中嵌入的钓鱼链接进行分析,判断是否指向伪造的登录页面或恶意下载站点。
- 对IM消息中的短链接解析后检测其安全性。
-
基于API返回结果进行处理
(1) 文件分析处置策略:
| 策略类型 | 建议处置的条件 | 策略说明 |
|---|---|---|
| 激进策略 | threat_level != clean && is_whitelist = false && threat_score > 40 | 封禁所有被判定为恶意或可疑,且不在白名单中的文件。此策略最大程度地阻止恶意文件的传播,但可能存在误判的风险。建议仅在高强度攻防对抗期间使用。 |
| 普通策略 | threat_level = malicious && is_whitelist = false | 封禁所有恶意文件,排除白名单中的文件。适用于常规防护,减少误封的风险。 |
| 保守策略 | threat_level != clean && is_whitelist = false && threat_scroe > 80 | 对于恶意或可疑,且威胁评分高于80的文件进行处置,避免误杀正常文件。 |
| 重新分析 | multiengines.scan_time < now - 7 days | 多引擎检测时间距今超过7天,建议重新提交样本分析。 |
注意:threat_level 请取data.threat_level,即url威胁等级。不要取data.sandbox.threat_level,该字段是url下载文件的分析判定。
(2) URL检测处置策略:
| 策略类型 | 建议处置的条件 | 策略说明 |
|---|---|---|
| 激进策略 | threat_level != clean | 封锁所有被判定为恶意或可疑的URL。 |
| 普通策略 | threat_level="malicious" | 针对威胁等级为恶意的URL,实施封锁,并为用户提供警示。 |
- 决策与通知
- 将判定为威胁的文件和链接,结合邮件网关或IM管理平台的日志,生成安全事件告警,推送给安全管理人员。
- 通知终端用户,告知检测结果,并建议相应的防范措施,如更改密码或验证设备安全。
- 通过上述方法,企业可以高效利用文件分析API和URL检测API构建IM与邮件的多层次安全防护能力,从而有效遏制钓鱼攻击的威胁。
联系我们:api@threatbook.cn