电子邮件取证技术在保密核查中的应用

引言

电子邮件是政府机关、事业单位等机构重要的信息传递方式，已经成为我国泄密事件发生的主要媒介。同时，利用电子邮件进行“鱼叉攻击”也是高级持续威胁（Advanced Persistent Threat, APT）实施攻击的重要一步。鉴于电子邮件安全的严峻形势，本文对保密核查中常用的电子邮件取证技术进行了介绍，对电子邮件的安全使用提出建议。

电子邮件面临的威胁

电子邮件通信过程面临的威胁包括窃听、身份盗窃、邮件修改、钓鱼攻击等。其中，窃听、身份盗窃是窃取内网信息，引发泄密事件的主要手段，钓鱼攻击和欺骗是APT攻击的常用手段。近几年发生了多起相关事件，2018年2月9日-25日，在平昌冬奥会期间，奥组委相关机构遭到植入恶意软件的鱼叉式钓鱼邮件攻击，导致冬奥会官网无法工作，对冬奥会的正常举行造成恶劣影响；2018年3月8日，出现了针对苹果用户的以窃取用户敏感信息为目的的钓鱼邮件，不少苹果用户上当，导致个人敏感信息如Apple ID 、信用卡详情等泄露，造成巨额损失；2018年3月23日，美国司法部声称伊朗黑客对美国的144所大学以及英国、加拿大等其他21个国家的176所大学发动袭击，利用鱼叉式钓鱼邮件盗取学术资料和知识产权共31TB，价值高达34亿美元。

保密核查中的电子邮件取证技术

保密核查中电子邮件取证的典型过程包括：

邮件数据采集

为了更完整的获取取证相关的邮件数据，一般需要同时从邮件网络流量和客户端离线邮件两个维度进行邮件数据采集。

1）从邮件网络流量中采集邮件数据的关键步骤包括判断当前报文协议类型，根据具体协议解析数据报文，判断当前邮件报文是否完整等。获取数据报文之后，先判断报文所属协议类型，根据协议具体通信过程获取邮件数据。

2）从邮件客户端中采集邮件数据的关键步骤包括搜索邮件客户端安装路径，解密和还原离线邮件等。邮件客户端中一般有多个邮箱账号，每个账号接收的邮件分别放在不同的文件夹下，对于每个账号对应的文件夹要分别进行离线邮件采集。对于对离线邮件执行加密的邮件客户端版本，根据具体的加密方式进行解密后还原邮件原文。

邮件路径追溯

对携带敏感信息的已知邮件泄露源头追溯及泄露边界进行界定，还原泄露轨迹，进行邮件路径追溯的具体的实现场景根据敏感邮件是否存在转发分为如下两类：

1）敏感邮件存在转发：在邮件网络中，如果一封携带敏感信息的邮件是根据原始邮件转发产生的，则原始邮件一定也是敏感邮件，继续对原始邮件进行追踪。判断一封邮件是否由转发产生的方法是检测其正文内容，如果存在清晰的“发件人：XXX 发送时间：XXX 收件人：XXX 主题：XXX”结构，则认为存在转发。

2）如果敏感邮件不是由转发产生，但在其发件人的邮件账户中发现了附件列表包含或等同于当前附件列表的邮件，即包含相同敏感附件的邮件，则继续对该邮件进行追踪。

上述追踪过程递归进行，直至发现已知敏感邮件的原始发件人，过程中发现的敏感邮件共同组成当前已知敏感邮件的泄露轨迹。在对所有已知敏感邮件进行溯源取证后，完成邮件网络整体泄露轨迹的刻画，主要流程如图1。

图1 邮件路径追溯流程图

恶意人员网络挖掘

考虑到现实网络中存在着大量内部节点联系紧密，而外部节点联系稀疏的社区结构，在对邮件网络结构进行深入挖掘之前，一般要使用社区发现算法对邮件网络可能存在的社区结构进行发现。然后将邮件网络对应的社区划分关系结合根据已知敏感邮件还原出的敏感信息泄露轨迹，对邮件网络内部恶意人员网络进行挖掘。首先对社区敏感度进行计算，对比敏感信息泄露轨迹和邮件网络社区结构，计算敏感信息泄露轨迹穿过邮件社区时所涉及的敏感邮件总数占整个当前邮件社区邮件总数的比例，即为邮件社区敏感度。对于社区敏感度超过设定阈值的社区，合理怀疑其整个社区内所有邮件用户都曾参与泄露事件，即属于潜在的恶意人员网络。

图2 某恶意团体挖掘示意图

取证结果可视化展 示

为了降低取证工作对人工的依赖程度，对取证结果进行可视化展示，在可视化展示过程中，使用点表示邮件用户，点之间的箭头表示邮件。取证结果可视化展示效果如图3所示：

图3 取证结果可视化展示效果

分析人员通过选中邮件可以查看邮件的收发件人、时间等信息，对于敏感邮件，还可以查看敏感附件信息。查看邮件详细信息效果如图4所示

图4 查看邮件详细信息效果

总结

电子邮件的广泛使用使得其本身成为主要泄密渠道和APT攻击跳板。政府机关、事业单位等工作人员使用电子邮件过程中，要严防电子邮件敏感信息的泄露，仔细鉴别，对于不明链接要谨慎点击或进入官网查询；为了提高邮箱的安全水平，一定要养成定期修改密码以及多个邮箱不复用密码的习惯，同时要重视对于邮箱隐私的管理，对于第三方应用的不必要的权限申请要进行限制，以最大程度降低个人邮件信息泄露的风险。

参考文献

[1]杨群领,喻民,姜建国,刘超. 基于社区发现的电子政务邮件取证分析技术研究[J].保密科学技术,2018(10):34-38.

[2] Nurse J R C, Erola A, Goldsmith M, et al. Investigating the leakage of sensitive personal and organisational information in email headers[J]. Journal of Internet Services and Information Security, 2015, 5(1).

[3] Neralla S, Bhaskari D L, Avadhani P S. Combating against anti-forensics aligned with e-mail forensics[J]. International Journal of Computer Applications, 2013, 79(15).

[4]Banday M T. Techniques and Tools for Forensic Investigation of E-mail[J]. International Journal of Network Security & Its Applications, 2011, 3(6): 227.

[5] Chhabra G S, Bajwa D S. Review of E-mail System, Security Protocols and Email Forensics[J]. International Journal of Computer Science & Communication Networks, 2015, 5(3): 201-211.

[6] Chen L, Mao Y. Forensic analysis of email on android volatile memory[C]//2016 IEEE Trustcom/BigDataSE/ISPA. IEEE, 2016: 945-951.

[7] Matoušek P, Pluskal J, Ryšavý O, et al. Advanced techniques for reconstruction of incomplete network data[C]//International Conference on Digital Forensics and Cyber Crime. Springer, Cham, 2015: 69-84.

作者：杨群领 姜建国

声明：本文来自中国保密协会科学技术分会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。