加强电子邮件安全的防范措施之邮件木马技术

邮件安全隐患分析

1、软件隐患

完美无缺的软件目前还没有，任何软件都存在缺陷，只是这种缺陷的危害程度大小不一样，提供邮件服务的邮件服务器以及接收邮件的客户端软件都存在或多或少的缺陷。

(1)邮件软件自身存在缺陷

到目前为止，市面上提供的邮件服务器软件、邮件客户端以及Web Mail服务器都存在过安全漏洞。QQ邮箱读取其他用户邮件漏洞、Elm 泄露任意邮件漏洞、Mail Security for Domino邮件中继漏洞、The Bat !口令保护被绕过漏洞、Outlook Express标识不安全漏洞、263快信WinBox漏洞、Foxmail口令绕过漏洞等等。

入侵者在控制存在这些漏洞的计算机后，可以轻易获取Email地址以及相对应的用户名与密码，如果存在Email通讯录，还可以获取与其联系的其他人的Email地址信息等。还有一些邮件客户端漏洞，入侵者可以通过构造特殊格式邮件，在邮件中植入木马程序，只要没有打补丁，用户一打开邮件，就会执行木马程序，安全风险极高。

(2)邮件服务器端软件和客户端软件配置问题

邮件服务器软件和客户端软件也会出现因为配置不当，而产生较高安全风险。很多管理员由于邮件服务器配置不熟悉，搭建邮件服务器平台时，仅仅考虑够用或者能够使用，而未考虑到应该安全可靠的使用，在配置时仅仅设置为可使用，未对其进行邮箱安全渗透测试，因此安全风险也极大。

2、电子邮件木马隐患

一封正常的邮件，无论用户怎么操作，都是安全的;而安全风险往往来自非正常邮件，目前邮件攻击结合社会工程学方法，发送的邮件在表面上跟正常邮件没有多大区别，不容易甄别。这些邮件常常采用以下方式。

(1)网页木马，邮件格式为网页文件，查看邮件只能以html格式打开，这些网页主要利用IE等漏洞，当打开这些邮件时，会到制定地址下载木马程序并在后台执行。

(2)应用软件安全漏洞木马，这些邮件往往包含一个附件，附件可能是exe文件类型，也可能是doc、pdf、xls、ppt等文件类型，入侵者通过构造特殊的格式，将木马软件捆绑在文件或者软件中，当用户打开这些文件时，就会直接执行木马程序。还有一种更加隐蔽，将木马软件替换为下载者，下载者就是一个到指定站点下载木马软件，其本身不是病毒软件;用户查看文件时，首先执行下载者，下载者然后再去下载木马软件并执行，杀毒软件将视下载者为正常软件，不会进行查杀。这种方式隐蔽性好，木马存活率，安全风险极高。

(3)信息泄露隐患，用户在注册BBS论坛、Blog以及一些公司的相关服务中，都要求提供Email地址等相关信息，有些公司和个人为了商业目的会将邮件地址等进行出售来获利，这些个人信息泄露将会带来安全隐患;还有一种情况，就是个人注册信息在网络上没有得到屏蔽，任何用户都可以查看和搜索，通过Google等搜索引擎可以获取较为详尽的资料信息，危害极高。

3、系统安全隐患

系统安全隐患的范围比较大，系统在安装过程、配置以及后期使用过程中由于使用不当，都有可能造成安全隐患;例如下载并执行未经安全检查的软件，系统存在未公开的漏洞等，这些安全隐患风险极高，且不容易防止，往往只能通过规范培训，加强制度管理等来降低风险。

邮件木马技术

1、网页木马技术

网页木马是最近几年比较流行的一种木马技术，其原理就是利用IE本身或Windows组件的漏洞(一般为缓冲区溢出)来执行任意命令(网页木马即执行下载木马和隐藏执行命令)，一般常见的漏洞多产生于IE，畸形文件(如畸形的ANI，word文档等，IE会自动调用默认关联打开，导致溢出)，程序组件(用java调用带有漏洞的组件来执行命令)，其核心代码主要是利用vbs脚本下载木马程序并执行。早期的网页木马主要有两个文件，一个为html网页文件，另外一个为木马文件。

如果浏览者的操作系统中存在漏洞，在访问网页文件时便会自动执行木马程序。由于杀毒软件的查杀，后期的网页木马开始利用框架网页，例如，将框架网页嵌入在正常网页中，由于框架网页的宽度和高度均为0，所以在网页中不会有视觉上的异常，不容易被察觉。后面陆续出现利用JavaScript、JavaScript变形加密、css、Java、图片伪装等多种方式将框架网页代码进行转换变形等处理，使其更难被发现和被杀毒软件查杀。

入侵者一方面在个人网站、商业网站以及门户网站等上面放置网页木马，控制个人计算机、盗取个人账号、出售流量等来牟取商业利益;另外还将这些网页木马制作成网页文件，大量发送垃圾邮件，如果接收者一不小心打开了网页文件，计算机将会感染和传播木马病毒，安全风险极高。

2、文件捆绑技术

文件捆绑的核心原理就是将b.exe附加到a.exe的末尾，当a.exe被执行的时候，b.exe也跟着执行了。早期的文件捆绑技术比较简单，文件捆绑器比较容易被查杀，后面逐渐出现通过利用资源来进行文件捆绑，在PE文件中的资源可以是任意的数据，将木马程序放入资源中，执行正常程序后再释放木马程序。

在邮件木马中，捆绑木马攻击是最常见的一种攻击方式，比较直接，只要打开邮件中的捆绑的文件，则会执行木马程序。常见以下几种捆绑文件类型：

(1)应用程序安装文件。这类可执行文件往往伪装成一个setup图标的安装文件。

(2)Ebook电子图书文件。Ebook电子图书是一种可执行的文件，这类文件是将html等文件通过编译生成一个可执行文件。

(3)Flash文件。Flash文件有两种类型，一种是可执行的flash文件，直接运行就可以观看flash;另外一种是以.swf结尾的文件，需要单独的Flash播放软件播放。

文件捆绑的核心就是将一个正常的文件跟木马文件捆绑，捆绑时会修改文件图标，以假乱真，诱使用户打开这类文件，达到控制计算机或者传播病毒的目的。

3、应用软件漏洞利用技术

利用应用软件漏洞而制作的木马程序，很难识别，危害最高。Office软件中的Word、PowerPoint、Excel，Adobe Reader，超星图书浏览器等都出现过高危安全漏洞，在日常办公中这些文件被广泛使用，利用应用软件的漏洞制作的木马，跟正常文件没有什么区别，当用户打开时，会执行木马程序和打开正常的文件。

入侵者往往利用应用软件漏洞来制作木马，将这些看似正常的文件通过邮件发送给被攻击者，被攻击者一旦打开邮件中的文件，感染木马病毒的几率非常高。

【编辑推荐】