| ID | Name |
|---|---|
| T1114.001 | 加密通道邮件数据截取 |
| T1114.002 | 合法邮件客户端协议模拟 |
| T1114.003 | 分布式邮件元数据爬取 |
| T1114.004 | 邮件自动转发规则隐蔽植入 |
分布式邮件元数据爬取(Distributed Email Metadata Crawling)是利用僵尸网络进行大规模邮件头信息收集的技术。攻击者将爬取任务分解为元数据片段收集(如发件人、主题、时间戳),通过数千个受控节点以低频率(如每节点每日3-5次查询)向目标邮件服务器发起请求。每个节点仅获取邮件列表的部分字段,最终在控制端通过特征关联算法重构完整元数据图谱,避免触发基于单节点高频访问的检测规则。
该技术通过时空维度分散化实现匿迹。在空间维度,利用跨地域的IoT设备、云主机构建动态节点池,使爬取流量呈现多源分散特征;在时间维度,采用泊松分布算法随机化请求间隔,模拟真实用户查询模式。技术实现包含三层隐匿:网络层通过Tor或I2P匿名网络隐藏节点真实IP;协议层使用标准IMAP SEARCH命令避免非常规语法检测;应用层控制每次请求的返回条目数量,使其符合服务器默认分页设置。由此形成的低信噪比爬取行为,可规避基于流量统计分析和协议异常检测的防御机制。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon