我们可以注入什么东西呢？它可以是任何MIME类型的后门，比如：

1. 勒索软件
2. 宏病毒
3. ZIP文件
4. 钓鱼攻击代码

在这篇文章中，稍后会介绍两起成功的攻击案例。

漏洞组件

几乎所有接受入站SMTP连接的加密应用都可能受到攻击。我们的研究还发现，不仅硬件可以被攻击，而且虚拟主机同样会受到危害。

漏洞修复

据我们目前了解，我们没有发现可以完全防御这种攻击的补丁。我们目前只确定了两种解决方法：

1. 完全禁用掉网关到网关之前的加密服务。
2. 实施邮件检测方案，执行邮件的解密以及威胁检测工作。

修复这个漏洞没有快速解决方案。所以公司需要投入一定的时间以及人力去寻找有效的防护措施。

漏洞详情

众多的邮件加密应用使用如下两种方式部署：

1. 邮件加密应用以及邮件安全网关都在公司防火墙内部。这些MTA都会被分配给一个独立公开的IP地址。攻击者可以绕过邮件安全网关，直接到达邮件加密应用，将后门注入到邮件中。然后这些信息通过路由器到达内部网络，并在内网中传播。2. 邮件加密应用在邮件安全防火墙之外，就像微软线上防护(EOP)一样。同样的，这些MTA也会被分配给一个公开的独立IP，攻击者同样可以直接到达加密应用，将后门注入到邮件中。邮件加密应用将所有邮件进行解密，然后发送到邮件安全网关。但是当安全网关进行邮件检测时，发送者的IP是加密应用的IP，而不是攻击者IP，所以防护措施这时是无效的。

攻击模拟

注意：这里为了保护目标公司不受到攻击，我们采用了无效的邮箱进行攻击。并且我们只是进入到内部SMTP服务器中，确保任何用户不会执行我们的后门。

实验一:攻击成功

环境：Microsoft Exchange服务器，电子邮件加密设备我们攻击的目标是使用了WatchGuard作为邮件安全网关对Exchange服务器进行保护的。

步骤一：选择攻击目标Excelsior Springs医院,位于 Excelsior Springs MO，具有400位职员。

步骤二：收集信息在选中目标之后，我们使用自动收集信息脚本收集关于目标邮件服务器架构的公开信息。脚本首先确定了目标的MX记录。

接下来使用暴力破解对电子邮件加密设备进行查找，这样我们可以找到所有子域名以及其对应的MX记录。

然后我们使用设备搜索工具去测试我们找到的所有MTA，确定它们的25端口是否开启。最后为了快速的找到这个公司的有效邮箱，我们使用了whois进行查找。

最后我们找到了ArtGentry的一个邮箱:

步骤三：对电子邮件进行测试发送

我们发送一个没有任何危害的载荷，这会让我们了解到目标邮件安全网关以及内部邮件服务器是如何处理信息的。你可以看到，邮件安全网关接受了这一邮件。

From: tifr-at-psles.com
To: test-mailbox-123-at-esmc.org
Subject: Hello World
Message: Hello
Server: mail.esmc.org

我们邮件已经到达了目标内部邮件服务器，然后会发送到用户邮箱中。因为我们填写的是无效的邮箱，所以目标的邮件服务器会返回给我们”目标不可达”的错误信息。NDR最大的危害在于他们常常暴露太多内部网络的信息。在此次攻击中，NTR暴露了目标网络内部的以下内容：

WatchGuard Email Security Gateway
Microsoft Exchange Server 2010 with IP address 10.2.100.253

步骤四：发送恶意电子邮件进行测试已经证实了目标具有邮件安全网关，我们现在生成一个恶意攻击代码，然后进行发送。我们对我们的电子邮件进行了伪装，使其看起来发件者为DocuSign,并且诱导读者点击查看文档。点击之后会跳转到木马地址。如下：

virusTotal对恶意软件进行分析的SHA256,以及名称如下所示：

URL: hxxp://LASVEGASTRADESHOWMARKETING.COM/file.php?document=MzM2MGFteUBrb250cm9sZnJlZWsuY29tMjEzNQ==
VirusTotal’s URL Analysis

Binary: Legal_acknowledgement_for_amy.doc
SHA256: 39cb85066f09ece243c60fd192877ef6fa1162ff0b83ac8bec16e6df495ee7af
VirusTotal’s Binary Analysis

不出所料，目标的邮件安全网关识别出了恶意软件，并且拦截了此条信息。

步骤五：进行拆分SMTP隧道攻击在确认邮件安全网关能够识别恶意以及正常邮件之后，我们进行拆分SMTP隧道进行攻击。我们对之前步骤中的恶意邮件进行重新发送。但是这一次我们直接到达了目标邮件加密设备，而不是到达邮件安全网关。并且邮件加密设备接受了这一恶意软件，并对他进行加密(如图中:250 2.0.0 Ok: queued as 3BE32281A62)：

在之前的测试中，当邮件通过目标Exchange服务器发送到用户邮箱时，如果用户邮箱不存在，那么就会返回”不可达”错误信息。你可以在下图中发现我们收到了Exchange服务器返回给我们的NDR，就说明我们的攻击已经成功了。此外NDR缺少”“X-WatchGuard”标头也表示了我们绕过了目标邮件安全网关。

此攻击演示了攻击者如何使用拆分隧道SMTP来利用电子邮件加密设备中的漏洞。

实验二：攻击成功

实验环境：微软office365，托管电子邮件加密第二次攻击是针对微软office365的用户。与第一次攻击不同的是office邮件加密设备之后部署了office365,以便通过EOP防护进行保护邮件安全。不幸的是，这种架构同样容易受到攻击。

步骤一：选择攻击目标Christiana Care Health System,位于 Wilmington, DE，拥有11500名职员。

步骤二：收集信息在确认目标之后，我再次使用了自动化脚本对目标邮件架构进行信息收集。脚本首先确定了目标的MX记录。我们通过使用”*.mail.eo.outlook.com”对记录进行过滤，进而缩小对office 365的查找范围。

接下来，我们再一次使用暴力破解对目标邮件加密设备进行查找。为了要找到托管的程序，我们通过判断MX记录是否和目标域名相等来确定，如下图。

和第一次攻击方法一样，我们使用扫描器判断我们扫描到的主机25端口是否开启。

最后，为了证明会找到一个可用的邮箱是多么简单，我们只是对目标的公共域名进行whois查询，就可以得到有效邮箱。我们发现属于Karen Kedda的邮箱，并且我们通过google，找到了她的Linkedln名片，了解到她是目标公司的系统架构师。

步骤三：发送测试邮件这一步骤和攻击一中作用完全一致，会了解到office365对邮件的设置。如下图，office365接受了我们的邮件。

邮件内容：

From: lzgr-at-maildx.com
To: test-mailbox-123-at-christianacare.org
Subject: Hello World
Message: Hello
Server: christianacare-org.mail.eo.outlook.com

因为我们填写的收件人是不存在的，所以我们会收到office365返回的”不可达”错误信息。你可以通过NDR清楚的看到office 365的EOP使用我们IP(80.82.x.x)对邮件入站威胁分析，以及病毒扫描。

步骤四：发送恶意电子邮件进行测试与第一次步骤相同，这次恶意邮件同样被拦截了。

步骤五：进行拆分SMTP隧道攻击已经确认Office365会对我们发送的恶意邮件进行拦截，那么我们现在测试拆分SMTP隧道攻击。我们对上述恶意邮件发送到目标托管的邮件加密设备，而不是EOP。然后目标托管的加密设备接受了我们发送的恶意邮件，然后进行加密，如下图：

所以我们攻击再次成功 ：）

结论

现在网络攻击越来越频繁，并且攻击越来越复杂。在之前的文章中，我提到了2016年一年超过了40亿条信息遭到了泄漏，已经超过了前两年的总和。而且Experian的2017数据泄露行业预测，2017年网络攻击将持续上升，医疗保健是第一大目标。