近期 勒索软件 及其攻击事件频繁,从中我们可看到一个规律,大多数是用钓鱼邮件的形式入侵的, 钓鱼攻击 常用的手段归纳起来主要分为两类,
- 第一类主要通过漏洞触发,包括目标网站服务器漏洞(如XSS、SQL注入),第三方引用内容的问题(如IFRAME挂马),网站IT支撑环境相关的DNS、HTTPS、SMTP服务缺陷(如DNS劫持),以及客户端终端环境存在的隐患,攻击者利用这些漏洞结合社会工程学对受害者进行诱骗。
- 第二类攻击手段则完全利用社会工程学的方式对受害者进行诱骗,如发送大量诱骗邮件、搜索引擎虚假信息,发布各类仿冒网站等。
什么是 钓鱼邮件
钓鱼邮件指利用伪装的邮件,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取。但近期勒索软件攻击事件中,又可以看到一种新的形式,即带诱骗附件,诱惑受害者点击,然后加密受害者电脑数据,索取赎金。
钓鱼攻击的特点
绿盟科技在《 反钓鱼的整体防护思路 》中介绍到,钓鱼攻击最大的特征即是具有极大的欺骗性。攻击者制作一个仿冒网站,类似于真实网站的克隆,再结合含有近似域名的网址来加强仿真度,进而进一步骗取用户的信任。
- 欺骗性
网络钓鱼最大的特征即是具有极大的欺骗性。大家都已经听说过假币,利用极度模仿的手法去伪造真实货币的样貌,不管是什么角度来看都是和真实的没有什么两样,网络钓鱼者可以利用自己的站点去模仿被钓网站的页面,类似于克隆一样,然后结合含有近似域名的网址来加强真实程度。更有甚者会先入侵一台服务器,在服务器上面做相同的事情,让自己可以更好的脱离其中,逃避追踪以及调查。
- 针对性
我们可以在APWG(Anti-Phishing Working Group)的钓鱼报告可以看出,通常与钓鱼者紧紧相关的网站都是一些银行、商业机构等等的网站机构,随着互联网飞速的发展,电子商务、网上购物已经成为了和网民息息相关的服务。庞大的网络资金流动,带动了很多的新兴行业,也带来了潜在的安全隐患。网络钓鱼就是潜在当中最严重最令人头痛的安全隐患。
- 结合性
我们正在使用的操作系统以及程序都会出现很多的安全隐患以及漏洞,钓鱼者会利用这些漏洞从而来进行攻击,例如:利用Internet Explorer的一些漏洞去构造连接地址,或者利用漏洞去种植间谍软件或者键盘木马等等。
- 多样性
网络钓鱼一种针对人性弱点的攻击手法,钓鱼者不会千篇一律的去进行攻击,不管是网络、现实到处都存在着钓鱼式攻击的影子。钓鱼者不会局限于常用的伪造网站,虚假邮件等等的手法,钓鱼者会结合更多的便民服务,人性的贪婪去想象更多令人容易心动,容易受骗的形式去骗被钓者,从而在更短的时间内得到最好的效果。
- 可识别性
网络钓鱼并不是无懈可击,更加不是说可以完完全全的没有破绽。从钓鱼者的角度出发,钓鱼者本身会利用最少的资源去构造自己的钓鱼网站,因为无法去利用真实网站一些独有的资源(例如:域名,USBKEY,数字验证等等)所以,在伪造网站的方面,会利用近似或者类似的方法来进行欺骗,通常我们可以查看伪造网站以及根据经验去识别其真实性,当我们查看HTML源码或者是一些独有的资源时,我们就可以很容易看出虚假网站的真实性了。
虽然普通技术用户警惕性越来越高,但钓鱼事件仍层出不穷,影响范围越来越广。根据Wombat安全公司正式发布的报告 ,钓鱼攻击数量在过去的五年间呈增长趋势;调查表明,22%的组织遭受过账户入侵,42%曾被恶意软件感染,4%经历过由钓鱼攻击直接造成的数据丢失。当今黑客在仿真方面的精准度令人惊叹,他们会伪装成员工的熟人发送邮件,员工很容易上当,进而点击恶意附件。反钓鱼意识教育不仅应在企业层面还应该在个人层面进行。本文提供了网上可用的几大反钓鱼资源,希望组织和个人能从中受益。
下面,媒体整理了最为人熟知的几大反钓鱼和网络教育工具:
反钓鱼网站
- SecurityIQ PhishSim
SecurityIQ不仅仅是网络钓鱼模拟器,它的培训模块互动性强,除了提供真实的网络钓鱼测试,还有定制课程,赋予了管理员完全的控制权。基础会员资质容易获取,只需要填写表格就可以搞定。该方案基于云,无需安装,不需要配置服务器,也不用修改任何脚本。注册后仅几秒就可以加入网络钓鱼教育。免费会员能享受多项优惠(其中包括100多种模板可供选择),成为付费会员后会有更多优惠。有关会员计划的更多信息,请点击 这里 。
- Gophish
Gophish是一个开源平台,用户可在下载后提取ZIP文件夹,将其安装在大多数操作系统中。功能不多,但是实现得很漂亮。软件包中未提供任何钓鱼邮件模板,但新建起来很容易,可借助于社区支持的内置库实现。还支持通过CSV文件新增用户,轻松点击几下便可模拟攻击。生成的报表形式美观,内容翔实。不过,缺点是缺少教育组件和定时攻击特性。
- Sptoolkit
Sptoolkit是另一个开源项目,为实体提供网络钓鱼培训和教育工具包。利用其开发的简单框架,组织可识别其人员中的薄弱环节。2013年时工具曾停止维护,后来成立新的项目组,使工具起死回生。工具的GIT页面提供完整的安装指南。
- LUCY
LUCY有一个免费版本,任何人填写邮件地址和姓名后均可下载,以Debian安装脚本或虚拟设备形式运行。LUCY作为社会工程平台,提供给用户的不仅仅是反钓鱼意识、教育和利用测试。虽然社区版工具不错,但要体验工具的真正好处还是应该使用企业版。付费版本的软件提供的特性包括文件附件攻击性能、攻击行动安排以及攻击统计导出。
- King Phisher
King Phisher是SecureState的开源反钓鱼方案。这是最高级的工具之一,具有许多突出特性,如获取被钓鱼用户的位置、同时发起多个攻击以及Web克隆能力。此外,它还为服务器页面和消息提供了模板库。King Phisher只能安装在Linux系统中,且安装过程复杂。
- SpearPhisher
SpearPhisher是TrustedSec开发的一款比较简单的工具,可用于生成钓鱼邮件。其组件包括:
- 用于新建和管理任务的Web应用
- 发送邮件的SMTP服务器
- 用以追踪响应的瓶子(Bottle)Web程序
工具界面越来越直观,以方便非技术用户使用,且严格基于Windows搭建。GIT库页面提供安装指南以及其他信息。
- 绿盟邮件钓鱼测试平台
绿盟科技摒弃了传统说教式的安全意识提升方式;提出-“实战演练式”的技术创新;国内率先推出 “勒索钓鱼演练平台”。该平台具有以下能力(不限于):
- 模拟发送钓鱼邮件
- 模拟发送勒索邮件
- 统计演练效果,员工安全意识可视化
平台还可以通过自定义邮件模拟最新的勒索变种,定向测试了解单位某部门或某部分员工的意识形态;通过反复测试的方式,辅助以安全教育,提升安全警惕性和辨别能力,防患于未然。
反钓鱼意识博客及其他资源
有些博客专门用于培养反钓鱼意识,有些网站定期分享反钓鱼相关信息。
- Anti-phishing.org
反钓鱼工作组(APWG)在自己的网站上宣称自己是“国际联盟组织,为各行业、政府与执法部门、非盈利组织等提供网络犯罪方面的全球统一响应”。网站上资料丰富,可用于培养各种人群的反钓鱼意识。
- Phishing.org
Phishing.org网站同样有许多资源可供用户浏览,为用户提供帮助。该专业网站既有关于网络钓鱼骗局的讨论,也提供各种反钓鱼工具和软件,为用户的反钓鱼活动提供大力支持。
- Phishme 博客
Phishme.com自建立以来,长期为全球客户提供反钓鱼方案。网站还有一个博客用于分享反钓鱼意识方面的信息以及各种网络安全新闻和事件。
- Digital Guardian 博客
Digital Guardian同样有一个博客经常提供反钓鱼意识方面的信息。
- TraceSecurity 博客
TraceSecurity的旗舰产品Tracephishing模拟器是一款必备钓鱼模拟器,具有多种有用特性。若想追踪最新技术,可密切关注TraceSecurity博客。
举报网络钓鱼事件
令人欣慰的是,全世界都在认真对待网络钓鱼。从在线银行账户到邮件服务提供商再到信用卡公司,许多商用产品和服务都在自己的网站上提供了版块供用户举报可疑邮件。还有许多网站专门用于举报网络钓鱼网站和可疑邮件,包括:
- 谷歌的 SafeBrowsing 网站
谷歌有一个专门网页供用户举报钓鱼网站。点击 这里 访问网页。
- 美国计算机应急准备小组
美国计算机应急准备小组(US-CERT)只有一个目标:在需要技术援助的紧急情况下随时可用。若想举报网络钓鱼行动或网站,可发送邮件至phishing-report@us-cert.gov。更多信息,请点击 这里 。
- IRS的钓鱼举报支持
美国国内税务局(IRS)网站同样提供反钓鱼意识方面的信息。遇到恶意事件时,可发送邮件至phishing@irs.gov。更多信息,请点击 这里 。
- 联邦贸易委员会
联邦贸易委员会(FTC)同样了解网络钓鱼犯罪的严重性,在 网站 上对其进行了广泛讨论。用户可发送邮件至spam@uce.gov举报FTC相关网络钓鱼活动。
- 赛门铁克
赛门铁克拥有诺顿杀毒软件和多种其他的网络安全产品,也提供 专门网页 供用户举报钓鱼网站。
钓鱼邮件防御思路
网络钓鱼攻击一旦成功,后果难料。根据统计,网络钓鱼攻击在过去的几年间呈指数级增长。各公司当务之急是划拨预算进行 网络培训和钓鱼安全意识培养 。上述工具及资源足以让员工了解网络钓鱼的潜在威胁以及规避方法。
当然,总有不相信的,任何组织中勒索攻击的突破口往往来自于安全意识不强的部门,把全部赌注压在人的方面,显然不靠谱。针对网络钓鱼、APT攻击、勒索软件,国内外安全界曾经提出了多种不同的检测或预防技术,安全厂商往往使用这些方法的组合来进行分析监测,这些技术包括:
- 采用深度包检测进行网络分析,如:
- 网络通信分析
- 多层网络流量异常、行为检测、事件相关性
- 枚举异常IP流量(如:基于RFC等标准)
- 恶意主机、URL基于文件信誉体系
- 恶意软件的命令和控制通道检测
- 自动文件静态分析
- 自动分离、解析文件对象
- 检测嵌入的可执行代码
- 检测逃避技术,如封装、编码及加密等
- 基于可视化、报警等进行手动分析
- 恶意行为可视化及其分析报告
- 可视化详细的网络流量,并关联威胁、信誉与风险级别
- 网络流量或完整的数据包捕获上的取证分析
以上方式在使用中被发现了多个问题,包括误报率高、大量漏报,也包括对安全管理人员的要求过高,以至于大多数组织无法使产品发挥预想的检测作用。因而这些技术方式没有被市场广泛认可。直到以FireEye公司为代表的基于虚拟执行技术的产品出现。这类产品易于部署管理、可以忽略的误报率、及时检测未知威胁,因此受到了客户的广泛认可,产品市场占有率也获得了较快的突破和发展。Gartenr组织的研究表明采用拟执行或模拟环境的检测方法是一种先进的邮件安全监测技术并且可作为传统邮件安全网关检测方式的有益补充。
- 沙箱技术是Gartner提出阻断邮件威胁的高级技术和方法
该方法利用一个操作系统或浏览器实例,发起建立一个虚拟的执行容器(或者称为一个沙箱),使恶意软件和恶意链接在其中执行,就像在真实的用户环境一样。这种方式可以有效的邮件正文中的恶意链接以及邮件附件中的含有未知恶意代码的文档(如office文档、PDF、可执行文件、脚本文件等)进行检测。通过这种方式,安全产品和技术人员可以对整个攻击生命周期进行观察,从最初的漏洞利用,随后与命令控制服务器的通信,下载进一步的恶意可执行文件以及随后的网络回调。这种检测技术因为可以检测漏洞利用阶段的恶意软件行为,因此避免了其它只检测后期阶段活动产品的漏报(这个阶段是可以采用加密等一系列方式进行逃避)。并且因为监测是基于一个高度近似真实用户环境的恶意软件的真实活动的,因此误报率极低。良好的漏报率和误报率指标是这种基于虚拟执行环境或者沙箱的检测技术成为邮件安全中应对高级可持续威胁监测的最新和最重要的技术手段。
绿盟邮件威胁分析系统, 英文名称为NSFOCUS Threat Analysis Center for Email (简称 TAC-E ), 该产品是专门检测邮件高级威胁的网络沙箱类安全产品。该产品主要针对包含未知威胁代码的鱼叉APT攻击和勒索软件两大类高级邮件威胁。
定向的邮件APT攻击为鱼叉攻击,勒索软件是通过钓鱼邮件的方式,引诱用户点击中招。
鱼叉APT威胁和勒索软件,这两种主要的未知恶意软件威胁,是TAC-E主要进行检测和防护的对象。TAC-E接收到可疑的邮件,会对其中的恶意URL和附件进行安全检测,在执行沙箱检测分析后,如确认没有安全风险才将邮件往后端的邮件服务器进行投递。因此,TAC-E在用户已有邮件安全网关的同时,可为用户的邮件提供第二道的安全检测和防护。 详情见这里
原文发布时间:2017年6月30日
本文由:infosec发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/anti-fishing