勒索软件攻击的第一步就是钓鱼邮件 从概念到防御思路 这里面都有了

近期 勒索软件 及其攻击事件频繁,从中我们可看到一个规律,大多数是用钓鱼邮件的形式入侵的, 钓鱼攻击 常用的手段归纳起来主要分为两类,

  • 第一类主要通过漏洞触发,包括目标网站服务器漏洞(如XSS、SQL注入),第三方引用内容的问题(如IFRAME挂马),网站IT支撑环境相关的DNS、HTTPS、SMTP服务缺陷(如DNS劫持),以及客户端终端环境存在的隐患,攻击者利用这些漏洞结合社会工程学对受害者进行诱骗。
  • 第二类攻击手段则完全利用社会工程学的方式对受害者进行诱骗,如发送大量诱骗邮件、搜索引擎虚假信息,发布各类仿冒网站等。

什么是 钓鱼邮件

钓鱼邮件指利用伪装的邮件,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取。但近期勒索软件攻击事件中,又可以看到一种新的形式,即带诱骗附件,诱惑受害者点击,然后加密受害者电脑数据,索取赎金。

钓鱼攻击的特点

绿盟科技在《 反钓鱼的整体防护思路 》中介绍到,钓鱼攻击最大的特征即是具有极大的欺骗性。攻击者制作一个仿冒网站,类似于真实网站的克隆,再结合含有近似域名的网址来加强仿真度,进而进一步骗取用户的信任。

  • 欺骗性

网络钓鱼最大的特征即是具有极大的欺骗性。大家都已经听说过假币,利用极度模仿的手法去伪造真实货币的样貌,不管是什么角度来看都是和真实的没有什么两样,网络钓鱼者可以利用自己的站点去模仿被钓网站的页面,类似于克隆一样,然后结合含有近似域名的网址来加强真实程度。更有甚者会先入侵一台服务器,在服务器上面做相同的事情,让自己可以更好的脱离其中,逃避追踪以及调查。

  • 针对性

我们可以在APWG(Anti-Phishing Working Group)的钓鱼报告可以看出,通常与钓鱼者紧紧相关的网站都是一些银行、商业机构等等的网站机构,随着互联网飞速的发展,电子商务、网上购物已经成为了和网民息息相关的服务。庞大的网络资金流动,带动了很多的新兴行业,也带来了潜在的安全隐患。网络钓鱼就是潜在当中最严重最令人头痛的安全隐患。

  • 结合性

我们正在使用的操作系统以及程序都会出现很多的安全隐患以及漏洞,钓鱼者会利用这些漏洞从而来进行攻击,例如:利用Internet Explorer的一些漏洞去构造连接地址,或者利用漏洞去种植间谍软件或者键盘木马等等。

  • 多样性

网络钓鱼一种针对人性弱点的攻击手法,钓鱼者不会千篇一律的去进行攻击,不管是网络、现实到处都存在着钓鱼式攻击的影子。钓鱼者不会局限于常用的伪造网站,虚假邮件等等的手法,钓鱼者会结合更多的便民服务,人性的贪婪去想象更多令人容易心动,容易受骗的形式去骗被钓者,从而在更短的时间内得到最好的效果。

  • 可识别性

网络钓鱼并不是无懈可击,更加不是说可以完完全全的没有破绽。从钓鱼者的角度出发,钓鱼者本身会利用最少的资源去构造自己的钓鱼网站,因为无法去利用真实网站一些独有的资源(例如:域名,USBKEY,数字验证等等)所以,在伪造网站的方面,会利用近似或者类似的方法来进行欺骗,通常我们可以查看伪造网站以及根据经验去识别其真实性,当我们查看HTML源码或者是一些独有的资源时,我们就可以很容易看出虚假网站的真实性了。

虽然普通技术用户警惕性越来越高,但钓鱼事件仍层出不穷,影响范围越来越广。根据Wombat安全公司正式发布的报告 ,钓鱼攻击数量在过去的五年间呈增长趋势;调查表明,22%的组织遭受过账户入侵,42%曾被恶意软件感染,4%经历过由钓鱼攻击直接造成的数据丢失。当今黑客在仿真方面的精准度令人惊叹,他们会伪装成员工的熟人发送邮件,员工很容易上当,进而点击恶意附件。反钓鱼意识教育不仅应在企业层面还应该在个人层面进行。本文提供了网上可用的几大反钓鱼资源,希望组织和个人能从中受益。

下面,媒体整理了最为人熟知的几大反钓鱼和网络教育工具:

反钓鱼网站

  1. SecurityIQ PhishSim

SecurityIQ不仅仅是网络钓鱼模拟器,它的培训模块互动性强,除了提供真实的网络钓鱼测试,还有定制课程,赋予了管理员完全的控制权。基础会员资质容易获取,只需要填写表格就可以搞定。该方案基于云,无需安装,不需要配置服务器,也不用修改任何脚本。注册后仅几秒就可以加入网络钓鱼教育。免费会员能享受多项优惠(其中包括100多种模板可供选择),成为付费会员后会有更多优惠。有关会员计划的更多信息,请点击 这里 

  1. Gophish

Gophish是一个开源平台,用户可在下载后提取ZIP文件夹,将其安装在大多数操作系统中。功能不多,但是实现得很漂亮。软件包中未提供任何钓鱼邮件模板,但新建起来很容易,可借助于社区支持的内置库实现。还支持通过CSV文件新增用户,轻松点击几下便可模拟攻击。生成的报表形式美观,内容翔实。不过,缺点是缺少教育组件和定时攻击特性。

  1. Sptoolkit

Sptoolkit是另一个开源项目,为实体提供网络钓鱼培训和教育工具包。利用其开发的简单框架,组织可识别其人员中的薄弱环节。2013年时工具曾停止维护,后来成立新的项目组,使工具起死回生。工具的GIT页面提供完整的安装指南。

  1. LUCY

LUCY有一个免费版本,任何人填写邮件地址和姓名后均可下载,以Debian安装脚本或虚拟设备形式运行。LUCY作为社会工程平台,提供给用户的不仅仅是反钓鱼意识、教育和利用测试。虽然社区版工具不错,但要体验工具的真正好处还是应该使用企业版。付费版本的软件提供的特性包括文件附件攻击性能、攻击行动安排以及攻击统计导出。

  1. King Phisher

King Phisher是SecureState的开源反钓鱼方案。这是最高级的工具之一,具有许多突出特性,如获取被钓鱼用户的位置、同时发起多个攻击以及Web克隆能力。此外,它还为服务器页面和消息提供了模板库。King Phisher只能安装在Linux系统中,且安装过程复杂。

  1. SpearPhisher

SpearPhisher是TrustedSec开发的一款比较简单的工具,可用于生成钓鱼邮件。其组件包括:

  • 用于新建和管理任务的Web应用
  • 发送邮件的SMTP服务器
  • 用以追踪响应的瓶子(Bottle)Web程序

工具界面越来越直观,以方便非技术用户使用,且严格基于Windows搭建。GIT库页面提供安装指南以及其他信息。

  1. 绿盟邮件钓鱼测试平台

绿盟科技摒弃了传统说教式的安全意识提升方式;提出-“实战演练式”的技术创新;国内率先推出 “勒索钓鱼演练平台”。该平台具有以下能力(不限于):

  • 模拟发送钓鱼邮件
  • 模拟发送勒索邮件
  • 统计演练效果,员工安全意识可视化

平台还可以通过自定义邮件模拟最新的勒索变种,定向测试了解单位某部门或某部分员工的意识形态;通过反复测试的方式,辅助以安全教育,提升安全警惕性和辨别能力,防患于未然。

反钓鱼意识博客及其他资源

有些博客专门用于培养反钓鱼意识,有些网站定期分享反钓鱼相关信息。

  1. Anti-phishing.org

反钓鱼工作组(APWG)在自己的网站上宣称自己是“国际联盟组织,为各行业、政府与执法部门、非盈利组织等提供网络犯罪方面的全球统一响应”。网站上资料丰富,可用于培养各种人群的反钓鱼意识。

  1. Phishing.org

Phishing.org网站同样有许多资源可供用户浏览,为用户提供帮助。该专业网站既有关于网络钓鱼骗局的讨论,也提供各种反钓鱼工具和软件,为用户的反钓鱼活动提供大力支持。

  1. Phishme 博客

Phishme.com自建立以来,长期为全球客户提供反钓鱼方案。网站还有一个博客用于分享反钓鱼意识方面的信息以及各种网络安全新闻和事件。

  1. Digital Guardian 博客

Digital Guardian同样有一个博客经常提供反钓鱼意识方面的信息。

  1. TraceSecurity 博客

TraceSecurity的旗舰产品Tracephishing模拟器是一款必备钓鱼模拟器,具有多种有用特性。若想追踪最新技术,可密切关注TraceSecurity博客。

举报网络钓鱼事件

令人欣慰的是,全世界都在认真对待网络钓鱼。从在线银行账户到邮件服务提供商再到信用卡公司,许多商用产品和服务都在自己的网站上提供了版块供用户举报可疑邮件。还有许多网站专门用于举报网络钓鱼网站和可疑邮件,包括:

  1. 谷歌的 SafeBrowsing 网站

谷歌有一个专门网页供用户举报钓鱼网站。点击 这里 访问网页。

  1. 美国计算机应急准备小组

美国计算机应急准备小组(US-CERT)只有一个目标:在需要技术援助的紧急情况下随时可用。若想举报网络钓鱼行动或网站,可发送邮件至phishing-report@us-cert.gov。更多信息,请点击 这里 

  1. IRS的钓鱼举报支持

美国国内税务局(IRS)网站同样提供反钓鱼意识方面的信息。遇到恶意事件时,可发送邮件至phishing@irs.gov。更多信息,请点击 这里 

  1. 联邦贸易委员会

联邦贸易委员会(FTC)同样了解网络钓鱼犯罪的严重性,在 网站 上对其进行了广泛讨论。用户可发送邮件至spam@uce.gov举报FTC相关网络钓鱼活动。

  1. 赛门铁克

赛门铁克拥有诺顿杀毒软件和多种其他的网络安全产品,也提供 专门网页 供用户举报钓鱼网站。

钓鱼邮件防御思路

网络钓鱼攻击一旦成功,后果难料。根据统计,网络钓鱼攻击在过去的几年间呈指数级增长。各公司当务之急是划拨预算进行 网络培训和钓鱼安全意识培养 。上述工具及资源足以让员工了解网络钓鱼的潜在威胁以及规避方法。

当然,总有不相信的,任何组织中勒索攻击的突破口往往来自于安全意识不强的部门,把全部赌注压在人的方面,显然不靠谱。针对网络钓鱼、APT攻击、勒索软件,国内外安全界曾经提出了多种不同的检测或预防技术,安全厂商往往使用这些方法的组合来进行分析监测,这些技术包括:

  • 采用深度包检测进行网络分析,如:

    • 网络通信分析
    • 多层网络流量异常、行为检测、事件相关性
    • 枚举异常IP流量(如:基于RFC等标准)
    • 恶意主机、URL基于文件信誉体系
    • 恶意软件的命令和控制通道检测
  • 自动文件静态分析
    • 自动分离、解析文件对象
    • 检测嵌入的可执行代码
    • 检测逃避技术,如封装、编码及加密等
  • 基于可视化、报警等进行手动分析
    • 恶意行为可视化及其分析报告
    • 可视化详细的网络流量,并关联威胁、信誉与风险级别
    • 网络流量或完整的数据包捕获上的取证分析

以上方式在使用中被发现了多个问题,包括误报率高、大量漏报,也包括对安全管理人员的要求过高,以至于大多数组织无法使产品发挥预想的检测作用。因而这些技术方式没有被市场广泛认可。直到以FireEye公司为代表的基于虚拟执行技术的产品出现。这类产品易于部署管理、可以忽略的误报率、及时检测未知威胁,因此受到了客户的广泛认可,产品市场占有率也获得了较快的突破和发展。Gartenr组织的研究表明采用拟执行或模拟环境的检测方法是一种先进的邮件安全监测技术并且可作为传统邮件安全网关检测方式的有益补充。

  • 沙箱技术是Gartner提出阻断邮件威胁的高级技术和方法

该方法利用一个操作系统或浏览器实例,发起建立一个虚拟的执行容器(或者称为一个沙箱),使恶意软件和恶意链接在其中执行,就像在真实的用户环境一样。这种方式可以有效的邮件正文中的恶意链接以及邮件附件中的含有未知恶意代码的文档(如office文档、PDF、可执行文件、脚本文件等)进行检测。通过这种方式,安全产品和技术人员可以对整个攻击生命周期进行观察,从最初的漏洞利用,随后与命令控制服务器的通信,下载进一步的恶意可执行文件以及随后的网络回调。这种检测技术因为可以检测漏洞利用阶段的恶意软件行为,因此避免了其它只检测后期阶段活动产品的漏报(这个阶段是可以采用加密等一系列方式进行逃避)。并且因为监测是基于一个高度近似真实用户环境的恶意软件的真实活动的,因此误报率极低。良好的漏报率和误报率指标是这种基于虚拟执行环境或者沙箱的检测技术成为邮件安全中应对高级可持续威胁监测的最新和最重要的技术手段。

绿盟邮件威胁分析系统, 英文名称为NSFOCUS Threat Analysis Center for Email (简称 TAC-E ), 该产品是专门检测邮件高级威胁的网络沙箱类安全产品。该产品主要针对包含未知威胁代码的鱼叉APT攻击和勒索软件两大类高级邮件威胁。

定向的邮件APT攻击为鱼叉攻击,勒索软件是通过钓鱼邮件的方式,引诱用户点击中招。

鱼叉APT威胁和勒索软件,这两种主要的未知恶意软件威胁,是TAC-E主要进行检测和防护的对象。TAC-E接收到可疑的邮件,会对其中的恶意URL和附件进行安全检测,在执行沙箱检测分析后,如确认没有安全风险才将邮件往后端的邮件服务器进行投递。因此,TAC-E在用户已有邮件安全网关的同时,可为用户的邮件提供第二道的安全检测和防护。 详情见这里

原文发布时间:2017年6月30日

本文由:infosec发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/anti-fishing

时间: 2024-09-20 12:40:39

勒索软件攻击的第一步就是钓鱼邮件 从概念到防御思路 这里面都有了的相关文章

亚信安全揭秘勒索软件攻击路径 并非所有企业都要“豪配”

如果我是一名"狡猾"的黑客,肯定也会选择中小企业用户发动攻击,因为他们往往不会像大型企业那样部署复杂.难以进攻的安全解决方案,而且与消费者相比,中小企业网络中的资料"更值钱",也更有能力支付赎金. 勒索软件入侵途径分析:"关门打狗"不适合 优选中小企业攻击,正是黑客选择攻击对象时的一种思路,也是通过网络安全人员"换位思考"之后得出的结论.当然,与个人用户相比,中小型企业还有更多的特点,比如:客户资料.投标文件.研发数据等,这些

Check Point支招防御Petya勒索软件攻击 避免下一次攻击

Check Point以色列捷邦安全软件科技有限公司的安全事故应对小组一直关注由Petya恶意软件变体引发的多起全球大型感染威胁.Petya在2016年首度肆虐,目前正在用户网络中横向移动策动攻击,它利用危险漏洞"EternalBlue"进行传播,这与在五月爆发的WannaCry攻击相同.它首先对乌克兰的金融机构发起攻击,之后迅速蔓延,特别是在欧洲.美洲和亚洲. Petya勒索软件像先前发生的WannaCry攻击一样迅速在企业网络中蔓延.然而,它有一点与WannaCry及其它勒索软件不

解读全球最严重的5起勒索软件攻击

本文讲的是解读全球最严重的5起勒索软件攻击, 在最近几年间,说起令人厌烦的软件攻击类型,勒索软件已经成为不容忽视的一种存在了. 所谓勒索软件其实就是一种恶意软件,可以感染设备.网络与数据中心并使其瘫痪,直至用户或机构支付赎金使系统解锁.勒索软件至少从1989年起就已经存在,当时的"PC Cyborg"木马对硬盘上的文件名进行加密并要求用户支付189美元才能解锁. 到了00年代中期,勒索软件已经逐渐发展成为最普遍的一种网络威胁形式.其中Archievus成为第一个使用RSA加密技术的勒索

Cryptowall 3.0勒索软件攻击:防胜于治

网络威胁联盟(CTA)进行了关于Crytowall 3.0勒索软件攻击的一项研究,研究表明该攻击非常有利可图,不过专家讲还是有方法可以缓解该风险的. CTA是去年成立的一个行业组织,成员包括Intel安全.Palo Alto Networks.Fortinet以及Symantec,旨在研究新兴网络威胁.在就Cryptowall 3.0进行的研究中,CTA发现与勒索软件相关有4046种恶意软件样本.839个指令和控制URL.49个活动的代码标识符,406887次尝试攻击并预估造成3.25亿美元的损

CNNVD关于WannaCry勒索软件攻击事件的分析报告

本文讲的是CNNVD关于WannaCry勒索软件攻击事件的分析报告,北京时间2017年5月12日,一款名为"WannaCry"(也称WannaCrpt.WannaCrpt0r.Wcrypt.WCRY)的勒索软件在全球范围内爆发,造成极大影响. 针对本次攻击事件,国家信息安全漏洞库(CNNVD)进行了分析研究,情况如下: 一.网络攻击事件背景 此次爆发的"WannaCry"勒索软件来自"永恒之蓝"(EternalBlue),主要利用微软Window

CNNVD:关于WannaCry勒索软件攻击事件的分析报告

北京时间2017年5月12日,一款名为"Wanna Cry"(也称WannaCrpt.WannaCrpt0r.Wcrypt.WCRY)的勒索软件在全球范围内爆发,造成极大影响.针对本次攻击事件,国家信息安全漏洞库(CNNVD)进行了分析研究,情况如下: CNNVD:关于WannaCry勒索软件攻击事件的分析报告-E安全 一.网络攻击事件背景 此次爆发的"WannaCry"勒索软件来自"永恒之蓝"(EternalBlue),主要利用微软Window

对抗勒索软件攻击 CryptoDrop系统亮相

近年来,勒索软件(Ransomware)已经成为不法黑客广泛使用的一种恶意攻击,在针对各大行业IT基础设施的攻击中屡屡得手,并有进一步增长的趋势.对此,来自美国维拉诺瓦大学(Villanova University)和佛罗里达大学(University of Florida)的4名研究人员在近期召开的IEEE分散式系统国际会议上,公布了一个能够对抗勒索软件攻击的防御系统--CryptoDrop. 对抗勒索软件攻击 CryptoDrop系统亮相 据悉,CryptoDrop系统可用来监控电脑上的数据

加密勒索软件攻击趋势分析

加密勒索事件仍会继续蔓延   2016年下半年,勒索软件成了企业安全的一个致命伤.卡巴斯基在2016年12月份发布的年度热门事件:加密勒索报告显示,截止到2016年,全球有114个国家受到加密勒索事件的影响,共发现44000多个勒索软件样本.亚信安全发布的勒索软件风险研究报告也显示,近十个月内,全球传播的勒索软件数量增长了15倍,中国勒索软件数量增长更是突破了67倍.   企业如遭到勒索,需要按照要求支付"赎金",否则文件将有可能永远无法打开.勒索软件欺诈金额巨大,且防范困难:通常,企

WannaCry 勒索软件攻击再袭 韩国 LG 服务中心不幸中招

本文讲的是WannaCry 勒索软件攻击再袭 韩国 LG 服务中心不幸中招, 全球消费电子制造商LG公司近日已经确认,其系统在遭遇WannaCry 勒索软件攻击后,部分网络处于宕机状态. 此次的勒索软件是在韩国LG电子服务中心的自助服务机中发现的,安全专家在对病毒样本进行分析后发现,此次攻击活动期间所使用的恶意代码和此前在全球肆虐的WannaCry勒索病毒的恶意代码及其相似,但安全专家需要更多的时间调查和确认. 今年五月中旬,勒索病毒WannaCry一经出现便开始肆虐全球,影响到了全球150多个