摘要:
昨晚,看到了一条有意思的新闻:我不对新闻的真实性做过多的验证,引用该新闻完全只是为了蹭个热点。看到文中提到的... 昨晚,看到了一条有意思的新闻:
我不对新闻的真实性做过多的验证,引用该新闻完全只是为了蹭个热点。看到文中提到的使用邮件钓鱼攻击,于是想跟大家谈谈邮件钓鱼攻击的那些事。
本文从以下几方面进行探讨:
1、钓鱼攻击简介
2、钓鱼攻击的那些姿势
3、钓鱼攻击的防范措施
01
钓鱼攻击简介
说到钓鱼邮件攻击,大家并不陌生。无论是目前公开的一些APT报告中,还是常规的红蓝演习,以及实际的国家级攻防演戏(HVV)中,都会有大量的钓鱼攻击出现。
所谓邮件钓鱼攻击,就是往特定的目标发送钓鱼电子邮件,引诱被攻击者打击链接或者打开邮件中的恶意附件的一种攻击方式。邮件钓鱼攻击的优点就是目标投放非常精准,且攻击简单和成本低。但是缺点是技术含量相对较低,而且只要掌握一些基本的、非专业的安全技能和安全意识就可以轻松的进行有效的防范。
事实上,随着国家对网络安全的重视程度持续的升高,各个国家机关单位及企业对内部的网络安全的投入程度也不断的提升。无论是部署大量的安全设备,如WAF、DDOS、NTA/IPS/IDS、EDR等,还是进行大量的渗透测试或者红蓝对抗。因此想从对外开放的服务器或者公有云资产为切入点,再深入到企业内网攻击,攻击的困难程度和成本也随之提升了好多。正因为此,邮件钓鱼攻击就变成了一种非常行之有效的攻击手段。
总之,尽管邮件钓鱼攻击的攻击和防范门槛并不高,但是在实际的攻击中,邮件钓鱼攻击仍然不失为当前最有效的攻击手段。正因为此,邮件钓鱼攻击也是目前APT攻击中使用最多的一种的攻击方式,据不完全统计,有90%的APT攻击,采用邮件钓鱼的攻击方式来进行最初始的攻击。
据Google的威胁分析小组(TAG)统计,2019年有4万多次基于政府支持的邮件钓鱼攻击活动,分布如下():
邮件钓鱼攻击中,最典型的案例莫过于希拉里的邮件门事件。该事件的发生,很大程度上导致了希拉里2016年的竞选失败,也很大程度上改变了近5年来全球的政治环境和生态。
约翰·波德斯塔(John Podesta)为希拉里竞选团队的竞选活动主席,当时,Podesta 收到了一封虚假的 “账户重置” 电子邮件,该电子邮件看似是来自 Google,要求他登录并更改密码:
虽然Podesta 对于这封电子邮件产生了疑惑,随后咨询了其中一名助手,但是巧合的是,该助手认为该邮件是合法的(legitimate),并让Podesta修改邮件的密码:
最终,Podesta输入了自己的账户信息,黑客由此成功访问并泄露了他的电子邮件,扰乱了希拉里的总统竞选活动。
当然,钓鱼邮件攻击也分几种:
1、泛式的邮件钓鱼攻击。在这里,攻击者属于撒网式的攻击,被攻击者并没什么特定的属性。攻击者往往通过搜索引擎等手段随机搜罗了一批邮箱地址,进行钓鱼攻击。此外,很多攻击往往是蠕虫(如邮件蠕虫)或者是僵尸网络发起;
2、鱼叉攻击。该攻击中,攻击者对根据行动目的,挑选特定的目标人群,然后针对挑选的人群进行针对性的钓鱼攻击。有针对特定的人的、特定的单位的、也有特定的行业属性的(如外贸)。
下文的内容,更多的属于鱼叉攻击的范畴。
02
钓鱼攻击的常用姿势
邮件钓鱼能否攻击成功,主要的关键点为:
1)是否能收集到重要目标的邮箱地址;
2)发件人邮箱是否具有足够的迷惑性;
3)诱饵内容是否具有足够的诱惑性和吸引力;
4)制作的诱饵文件是否能穿透相关的防御设备。
下面分别来谈谈这几个点。
邮箱的收集
目标的邮箱收集,是攻击前的准备工作,该步骤是一个非常关键和重要的环节。当然除了邮箱的收集,也包括一些目标的其他信息,如企业基本信息、企业资产、企业习惯、雇员信息、社交信息、地理位置等等。
搜集的方式很简单,可以使用搜索引擎直接搜索,如要收集某国外交部(mea.gov.in)的相应邮箱:
也可以使用infoga等账号收集工具来进行收集:
也可以使用hunter.io平台来收集邮箱地址以及邮箱的格式:
获取了邮箱格式,就可以通过linkin及脉脉等平台,获取到员工的姓名,然后进行邮件地址的构造:
构造完成后,可以使用smtp-user-enum来验证下邮箱是否有效:
最后使用邮件群发工具,进行群发即可。
发件人攻击
发件人邮箱是攻击是否能够成功的关键一环,主要攻击方式为:
1)盗用目标社交链中的某人的邮箱;
2)伪造目标社交链中的某人的邮箱;
3)仿冒目标社交链中的某人的邮箱。
也有通过攻陷跟目标有商务往来的公司,再对目标进行钓鱼攻击:
也有攻陷内部员工,利用该员工的账号,在单位或者企业内群发邮件的攻击:
恶意邮件的攻击方式主要为两种:内嵌恶意url和内嵌恶意附件。
邮件里内嵌恶意url的攻击,主要是在邮件内容中嵌相关的url,诱使用户打开。打开的链接往往会是钓鱼网站,盗取账户密码;或者是收集用户相关信息;或者是挂马的站点,从而植入木马。
如某次钓鱼活动:
点开后会要求输入邮箱账号和密码:
为了更好的引诱被攻击者点击链接,也有把url利用脚本,构造成跟附件类似的效果,如某次攻击:
点开后,最终会让被攻击者输入账号密码,从而窃取账号密码:
也有使用qq邮箱中转站来进行攻击的,如毒云藤的攻击:
要求输入邮箱账号密码才能下载附件:
还有利用浏览器漏洞进行攻击,如某次钓鱼攻击,实际打开的为含有浏览器漏洞的页面。若浏览器存在漏洞,则会触发恶意代码,下载恶意的文件:
附带恶意附件的邮件钓鱼攻击,是目前最为普遍的钓鱼方式。该方式为把恶意文件作为邮件附件进行攻击。其中附件往往为精心构造的恶意文件。
在使用附件攻击中,攻击者也有一些好玩的伎俩。
伎俩一:附件加密
内嵌的邮件附件带有密码:
而解压密码藏于邮件正文中:
该攻击的好处为,邮件网关中的安全设备,由于无法解密附件的压缩包,而无法进行安全监测,从而无法拦截。以及安全厂商,即便捕捉了该附件样本,由于无法获得邮件正文,也无法进行解密,从而进一步分析。
伎俩二:隐写及恶意文件组合攻击
该攻击中,所有下载到的文件,单独看都无可疑。但是组合在一起,却有"神奇"的效果。该攻击来自朝鲜的KONNI组织。
攻击者发送的邮件中包含两张图片文件和一个文档:
文档中提示用户,若想查看图片文件,则需要下载对应的图片浏览器,并附上了下载地址:
图片浏览器包含PC版和移动版:
下载回来的图片浏览器乍看也是正常的图片浏览器:
该攻击的关键:图片中,含有恶意的payload,而该图片浏览器,除了把图片显示外,还会去读取图片中的隐藏的恶意代码,并且执行:
此外,还有一些攻击,同时嵌入了恶意url和恶意附件,如:
其中url为收集用户信息,恶意附件为了远程控制被攻击者。
邮件主题
邮件钓鱼攻击中的邮件标题和内容,往往有极强的敏感性和诱惑力,主要包括:
邮件附件
恶意邮件的附件类型主要有以下几种:
除了直接用可执行文件攻击,还经常使用dll侧加载(白加黑)来进行攻击:
而即便在邮件附件中直接使用可执行文件,也一般会做RLO处理。RLO,即Right-to-Left Override,可以在⽂件名中插⼊此类unicode字符,来达到⽂件名反转的效果,如:
采用RLO:
效果为:
03
邮件钓鱼攻击的防范措施
针对邮件安全的解决方案,主要是:
1、谈谈SPF、DKIM、DMARC
上面在伪造发件人攻击里讲到,邮件服务器开启spf,能防止某些伪造发件人的攻击。
SPF:Sender Policy Framework,即发件人策略框架。SPF 记录实际上是服务器的一个 DNS 记录。流程如下:
除了SPF外,还有DKIM协议,及基于SPF和DKIM的DMARC协议。
DKIM是电子邮件验证标准:域名密钥识别邮件标准DomainKeys Identified Mail的缩写。
原理是:
首先产生两组钥匙,公钥(public key)和私钥(private key),公钥将会存放在 DNS中,而私钥会存放在寄信服务器中。私钥会自动产生,并依附在邮件头中,发送到寄信者的服务器里。公钥则放在DNS服务器上,供自动获得。收信的服务器,将会收到夹带在邮件头中的私钥和在DNS上自己获取公钥,然后进行比对,比较寄信者的域名是否合法,如果不合法,则判定为垃圾邮件。
简单流程:
而DMARC全称Domain-based Message Authentication, Reporting and Conformance ,是基于现有的DKIM和SPF两大主流电子邮件安全协议发展而来的。DMARC是验证邮件是否是伪造的,但是验证方式为SPF或者DKIM,或者两者皆有。此外,还具有举报的功能。
因此,建议企业的邮件服务器中,开启SPF或者DKIM。
2、安全意识的提升
安全意识的提升,简单的说是要学会识别钓鱼,不要随便点开陌生人的邮件中的附件和链接等。那么这里的关键就是,怎么识别什么是钓鱼邮件?
钓鱼邮件的识别,主要有以下几种方式:
1)看发件人地址。如果是公务邮件,发件人多数会使用工作邮箱,如果发现对方使用的是个人邮箱帐号或者邮箱账号拼写很奇怪,那么就需要提高警惕;
2)看发件的日期。公务邮件通常接收邮件的时间在工作时间内,如果收到邮件是非工作时间,需要提高警惕。比如,凌晨3点钟;
3)看邮件标题。大量钓鱼邮件主题关键字涉及“系统管理员”、“通知”、“订单”、“采购单”、“发票”、“会议日程”、“参会名单”、“历届会议回顾”等,收到此类关键词的邮件,需提高警惕;
4)看正文措辞。对使用“亲爱的用户”、“亲爱的同事”等一些泛化问候的邮件应保持警惕。同时也要对任何制造紧急气氛的邮件提高警惕,如要求“请务必今日下班前完成”,这是让人慌忙中犯错的手段之一;
5)看正文目的。当心对方索要登录密码,一般正规的发件人所发送的邮件是不会索要收件人的邮箱登录账号和密码的,所以在收到邮件后要留意此类要求避免上当;
6)看正文内容。当心邮件内容中需要点击的链接地址,若包含“&redirect”字段,很可能就是钓鱼链接;当心垃圾邮件的“退订”功能,有些垃圾邮件正文中的“退订”按钮可能是虚假的。点击之后可能会收到更多的垃圾邮件,或者被植入恶意代码。可以直接将发件人拉进黑名单,拒收后续邮件;
7)看附件内容。当心邮件中的附件信息,不要随便点击下载。诸如word、pdf、excel、PPT、rar等文件都可能植入木马程序,尤其是附件中直接带有后缀为.exe、.bat的可执行文件,千万不要点击;
学会识别钓鱼邮件后,还需要做到:
1)登录口令要保密。要做到不向任何人主动或轻易地泄露邮箱的密码信息。不要将登录口令贴在办公桌或者易于被发现的记事本上。办公邮箱的密码要定期更换;
2)不用工作邮箱注册公共网站的服务,也不要用工作邮箱发送私人邮件;
3)不要轻信发件人地址中显示的“显示名”。因为显示名实际上是可以随便设置的,要注意阅读发件邮箱全称;
4)不要轻易点开陌生邮件中的链接。正文中如果有链接地址,切忌直接打开。如果接到的邮件是邮箱升级、邮箱停用等办公信息通知类邮件,在点开链接时,还应认真比对链接中的网址是否为单位网址,如果不是,则可能为钓鱼邮件;
5)不要放松对“熟人”邮件的警惕。攻击者常常会利用攻陷的组织内成员邮箱发送钓鱼邮件,如果收到了来自信任的朋友或者同事的邮件,你对邮件内容表示怀疑,可直接拨打电话向其核实;
6)不要使用公共场所的网络设备执行敏感操作。不要使用公共场所的电脑登入电子信箱、使用即时通讯软件、网上银行或进行其它涉及敏感资料的操作。在无法确定其安全性的前提下,请不要在连接Wi-Fi后进行登录和收发邮件,慎防免费无线网络因疏于管理被别有用心人士使用数据截留监侦手段获取用户信息;
企业的安全部门也要做好相应的安全意识培训工作,并且定期组织钓鱼演习等。
3、安全解决方案
针对安全解决方案,除了常规的打补丁、关闭必要的端口外,还建议企业配备一些安全产品。
如邮件安全网关:
邮件安全网关的主要原理为:
1)集成威胁情报:识别恶意发件人、邮件里的链接、恶意附件等;
2)沙箱:把附件丢到沙箱进行判断;
3)特征:常用的一些行为和流量特征
4)异常检测:基于异常行为的一些检测,如外部邮箱大量群发;发送对象无组织交集等。
安全终端:如EDR,主要是检测附件落地或者执行后的一些异常行为。
零信任:
这里同样需要提到零信任。零信任同样是钓鱼攻击的一个很好的解决方案。零信任在该场景的最大特点是:即便该终端被突破,也不会造成业务损失、业务数据泄漏,以及内网大规模的感染。
具体的关于零信任的话题,我们下一篇再谈(本来上篇文章说下一篇谈零信任,不过正好看到热点,就想先蹭个热点,因此先插入了邮件安全。给大家说声抱歉。)
