中科大：郵件系統(tǒng)安全事件分析及應(yīng)對

發(fā)布時(shí)間：2024-02-22

6月19日消息 近期不少學(xué)校反映郵件系統(tǒng)被黑客嘗試登錄，進(jìn)而利用正常賬號(hào)發(fā)送垃圾郵件的安全事件。此類針對郵件系統(tǒng)的安全事件不是近期開始發(fā)生的，早在2016年中國科學(xué)技術(shù)大學(xué)郵件系統(tǒng)就觀察到國內(nèi)部分城市大量的ip地址嘗試登錄問題。初步判斷為有黑客試圖通過窮舉法來獲取密碼簡單的用戶密碼。為此做了如下應(yīng)對處理：
1. 對于連續(xù)嘗試密碼錯(cuò)誤的ip地址，禁止使用pop/imap/smtp等客戶端方式登錄，封禁的時(shí)間隨錯(cuò)誤的次數(shù)逐步變長。對于多個(gè)ip地址進(jìn)行嘗試的網(wǎng)段，直接禁止該網(wǎng)段的ip使用客戶端登錄。以上封禁的ip地址，在https://blackip.ustc.edu.cn/mailblackip.php 有記錄（早期封禁記錄已經(jīng)刪除，目前看到的是2019年2月開始的記錄）；
2. 定期統(tǒng)計(jì)當(dāng)日用戶發(fā)郵件數(shù)量及ip來源數(shù)量，超過一定的閾值一般是密碼泄漏，強(qiáng)制更改用戶密碼；
3. 向管理機(jī)構(gòu)反映該問題，管理機(jī)構(gòu)答復(fù)因未造成明顯損失，不方便處理。
上述1、2處理均由程序自動(dòng)完成，一定程度上緩解了用戶賬號(hào)被黑客登錄的行為。
2017年7月至今,已經(jīng)強(qiáng)制修改了約3500個(gè)賬號(hào)的密碼，表1是各個(gè)時(shí)間段強(qiáng)制修改密碼用戶的數(shù)量統(tǒng)計(jì)。
從統(tǒng)計(jì)可以看到，2020年出現(xiàn)異常的郵件賬號(hào)數(shù)量急劇變多。發(fā)送的垃圾郵件內(nèi)容，集中在網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)貸款、網(wǎng)絡(luò)詐騙話題。其他高校也均反饋有類似問題，且近期急劇增多。
這種密碼泄漏，通常是以下5種途徑：
途徑1: 服務(wù)器端密碼泄漏。服務(wù)器被攻擊導(dǎo)致加密的密碼庫泄漏，攻擊者可以通過碰撞手段獲取密碼強(qiáng)度不高的密碼；
途徑2: 用戶密碼簡單，被黑客持續(xù)嘗試后獲取；
途徑3: 用戶訪問郵件系統(tǒng)時(shí)未使用加密傳輸方式，在不安全的網(wǎng)絡(luò)環(huán)境下，黑客截取傳輸過程中的數(shù)據(jù)直接獲取密碼；
途徑4: 用戶在其他網(wǎng)站使用了相同的密碼，其他網(wǎng)站的密碼泄漏導(dǎo)致密碼泄漏；
途徑5: 用戶的終端被安裝了惡意木馬軟件，該軟件竊取了用戶輸入的密碼。
其中，途徑1屬于郵件服務(wù)器安全，與用戶不直接相關(guān)；途徑2則與服務(wù)器和用戶都有關(guān)系；途徑3~途徑5，則是用戶原因，單獨(dú)加強(qiáng)服務(wù)器安全并不能解決問題。
為了排除途徑1，并了解用戶使用簡單密碼的總體情況， 4月份開發(fā)了密碼碰撞程序(https://github.com/bg6cq/checkwkpass)，對學(xué)校郵件系統(tǒng)8.5萬個(gè)賬號(hào)進(jìn)行弱密碼測試。碰撞的密碼共170多萬個(gè)，測試需要的運(yùn)算量較大，經(jīng)優(yōu)化后在學(xué)校超算中心10臺(tái)服務(wù)器上30秒鐘可以執(zhí)行一輪測試。
4月份碰撞測試并進(jìn)行后續(xù)處理，弱密碼的用戶數(shù)變化如表2。
從表2可以推測，假如黑客曾經(jīng)獲取過服務(wù)器上的加密密碼庫，可以很輕松獲取近萬人的有效密碼。因此途徑1服務(wù)器被攻擊泄漏密碼的可能性很小。
目前，仍有3100多個(gè)用戶使用的是弱密碼，我們會(huì)繼續(xù)督促用戶修改，必要時(shí)采取強(qiáng)制修改的方式。而即便是這樣的弱密碼，想通過窮舉測試的方式嘗試出來，由于有ip的自動(dòng)封鎖，對于黑客來說也并不是容易的事。
追溯與測試
為了推測黑客獲取密碼的方式，我們向部分用戶發(fā)送調(diào)查郵件了解情況。以郵件賬號(hào)chen*的陳某某老師為例，其反饋?zhàn)约好艽a相對復(fù)雜，僅僅在幾個(gè)相對安全的重要系統(tǒng)使用。經(jīng)查詢郵件系統(tǒng)日志，相關(guān)事件如下：
1. 黑客碰撞密碼過程
123.185.150.18 ip掌握有一批我校郵件用戶名和密碼，在2月27日 12:22:13 開始碰撞，第18個(gè)就是chen*，碰撞成功。這個(gè)ip因錯(cuò)誤多次，在12:22:18被我校封鎖，但是碰撞chen*密碼是在封鎖前4秒鐘。
2. 發(fā)送垃圾郵件的過程
黑客獲取密碼后，一共發(fā)送過9次垃圾郵件，均是賭博類郵件。其他用戶也是類似情況：某個(gè)ip集中測試若干用戶和密碼，成功率很高。測試成功后不久，開始發(fā)送垃圾郵件。
如2020年5月8日，發(fā)現(xiàn)有若干用戶發(fā)送垃圾郵件，日志顯示ip 182.122.84.189(河南平頂山)在凌晨01:33測試了25個(gè)用戶，其中22個(gè)用戶密碼正確。后續(xù)開始使用這些賬號(hào)發(fā)送垃圾郵件。
黑客測試25個(gè)用戶，其中22個(gè)密碼正確，說明黑客之前已經(jīng)掌握了一批用戶名和密碼，而不是漫無目的地測試。這些用戶名和密碼，可能是通過途徑3、途徑4或途徑5獲取。
對于途徑3，只要用戶使用加密方式訪問郵件服務(wù)器，就可以避免中間人在傳輸過程中截取數(shù)據(jù)包直接獲取密碼。我校郵件服務(wù)器從2015年起就支持各種服務(wù)的加密方式，在郵件系統(tǒng)幫助頁公布有相關(guān)的加密服務(wù)端口信息。為了更好地提醒用戶使用加密方式，網(wǎng)絡(luò)信息中心在4月17日向所有用戶群發(fā)了“電子郵件安全使用小帖士”，強(qiáng)調(diào)盡量使用加密方式。我們推測使用不正規(guī)的運(yùn)營商家庭寬帶上網(wǎng)、免費(fèi)wi-fi上網(wǎng)環(huán)境或使用免費(fèi)的翻墻軟件，被中間人截取密碼的風(fēng)險(xiǎn)很高。
途徑4和途徑5，只能依靠用戶自己來解決。
綜上所述，郵件系統(tǒng)被非授權(quán)登錄，絕大部分是黑客通過其他途徑，預(yù)先掌握了一批用戶名和密碼，因此單獨(dú)增強(qiáng)郵件服務(wù)器的安全性并不容易解決被非授權(quán)登錄的問題。
目前，學(xué)校的郵件服務(wù)器web界面登錄輸入密碼多次錯(cuò)誤會(huì)彈出驗(yàn)證碼，所以黑客一般使用smtp/pop/imap等服務(wù)方式來測試密碼。這些服務(wù)由于本來就是用于程序之間的通信，無法增加辨認(rèn)圖形等人機(jī)識(shí)別（識(shí)別是人還是程序）過程，現(xiàn)已具備錯(cuò)誤后禁止登錄的手段（目前，系統(tǒng)已經(jīng)有登錄錯(cuò)誤后短時(shí)間禁止登錄，即便提供正確的用戶名和密碼也會(huì)失敗）。
郵件系統(tǒng)使用建議
郵件系統(tǒng)是學(xué)校重要的信息系統(tǒng)之一，各學(xué)校都很重視其安全性。由于近期很多學(xué)校的郵件服務(wù)器均碰到類似問題，而各學(xué)校對郵件軟件提出了增強(qiáng)安全性的功能需求。郵件軟件廠商擬提供的手段包括web界面登錄時(shí)增加掃碼認(rèn)證或短信認(rèn)證；pop3/smtp/imap登錄使用獨(dú)立的安全認(rèn)證碼。這些功能有些正在開發(fā)，有些因太繁瑣很難被用戶普遍接受，有些功能實(shí)現(xiàn)復(fù)雜收益率很低。如果這些新的功能合適，我們會(huì)引進(jìn)增加到學(xué)校的郵件系統(tǒng)。
對于中科大的郵件系統(tǒng)用戶，建議按照電子郵件安全使用小帖士中的要求使用，即可保障郵件賬戶的安全。
1. 嚴(yán)格做到“上網(wǎng)不涉密，涉密不上網(wǎng)”
嚴(yán)格按照國家有關(guān)保密法律法規(guī)，禁止使用互聯(lián)網(wǎng)電子郵件傳輸或處理涉密信息。
2. 重要文件做好備份，敏感信息請勿通過郵件明文傳送
重要文件及時(shí)做好備份，避免因各種軟硬件故障或攻擊導(dǎo)致數(shù)據(jù)丟失。敏感信息請勿通過郵件傳送，或者使用gpg之類的軟件加密后傳送。
3. 使用相對復(fù)雜的密碼，同樣的密碼請勿在其他網(wǎng)站使用
定期修改電子郵箱密碼，密碼強(qiáng)度達(dá)到“好”以上。發(fā)現(xiàn)有不正常的發(fā)信退信記錄，第一時(shí)間修改登錄密碼
4. 使用ssl/tls加密傳輸方式訪問郵件服務(wù)器
學(xué)校郵件系統(tǒng)pop3、imap、smtp、web等服務(wù)均支持ssl/tls加密傳輸方式。使用加密傳輸方式能避免網(wǎng)絡(luò)傳輸時(shí)的信息泄露。web訪問時(shí)，使用 https://mail.ustc.edu.cn 連接服務(wù)器，并選擇“ssl安全登錄”手機(jī)或pc端的郵件客戶端訪問時(shí)，設(shè)置對應(yīng)的安全選項(xiàng)。
我校郵件服務(wù)器ssl/tls加密端口如下：
o pop3 ssl/tls加密端口 995
o imap ssl/tls加密端口 993
o smtp ssl/tls加密端口 465
5. 謹(jǐn)防欺騙、釣魚類郵件騙取重要信息
任何以郵箱停用、賬號(hào)重新登記等名義要求提供郵箱密碼的均為欺騙郵件，請勿相信。對于來歷不明郵件、不明內(nèi)容的鏈接，請勿盲目點(diǎn)擊或下載打開，謹(jǐn)防釣魚郵件。對于內(nèi)容為勒索或威脅恐嚇的郵件，冷靜分析，請勿盲目按照其指令進(jìn)行操作。
6. 定期查詢登錄信息，核對是否設(shè)置有自動(dòng)轉(zhuǎn)發(fā)
特別要關(guān)注登錄成功的信息，確保是自己正常登錄。定期檢查是否被非法侵入并設(shè)置了自動(dòng)轉(zhuǎn)發(fā)。
此外，還需注意pc機(jī)或手機(jī)本身是否被植入監(jiān)聽m馬等惡意程序。