隨著我們邁入新的一年,2014年也已塵埃落定,讓我們從網(wǎng)絡(luò)釣魚的方面回顧一下2014年。如果你一直關(guān)注博客,你會(huì)了解到我們一直在分析PhishME員工接收的釣魚郵件。2014年,我們觀察到最有趣的網(wǎng)絡(luò)釣魚發(fā)展趨勢(shì)是什么?雖然攻擊者不斷地使用新型惡意軟件來(lái)武裝釣魚郵件,但絕大多數(shù)釣魚郵件還是使用過(guò)時(shí)的重復(fù)的內(nèi)容。
十大釣魚攻擊
基于這一趨勢(shì),2014年最佳釣魚郵件的排名可能聽起來(lái)沒(méi)那么吸引眼球,但它們使用重復(fù)的內(nèi)容并不意味著我們沒(méi)有收到許多有趣的釣魚攻擊:
10.傳真通知釣魚:歷久彌新,屢試不爽
傳真機(jī)可能看起來(lái)像VH1電視臺(tái)播放“我愛90年代”迷你劇中的東西一樣陳舊,但傳真通知卻一直是釣魚郵件中流行的主題。本文討論的許多攻擊都使用傳真主題的釣魚郵件,最近我們接收多次以傳真為主題的發(fā)送更新版Dyre木馬的釣魚攻擊,與一次以Upatre惡意軟件為主角的攻擊。在Upatre木馬下載器的事例中,釣魚郵件的內(nèi)容幾乎和普通eFax釣魚的內(nèi)容一樣,但是惡意軟件背后的技術(shù)手段卻是最前沿的。
9..Net 按鍵記錄器:密碼一鍵記錄,忘記密碼請(qǐng)@我
該攻擊以一份普通的銀行業(yè)務(wù)主題的釣魚郵件為開始,其中郵件攜帶一個(gè)zip附件。這個(gè)惡意軟件被證實(shí)是一個(gè).NET鍵盤記錄器,它可以提取存儲(chǔ)在瀏覽器與其他媒介中的密碼。相當(dāng)要命喲!
8.律師消息:傳說(shuō)中隔壁家的老王
早在2014年春天,我們接受一份自稱鄰居發(fā)送的釣魚郵件。而這位鄰居通過(guò)郵件發(fā)送一個(gè)zip文件,聲稱文件包含來(lái)自收件人律師的敏感信息。為什么你的鄰居會(huì)通過(guò)郵件向你發(fā)送來(lái)自律師的zip文件?這是一個(gè)非常有用問(wèn)題,也是一個(gè)值得深究的問(wèn)題,因?yàn)檫@個(gè)zip文件包含惡意的可執(zhí)行程序。
7.勒索軟件釣魚:立交贖金,否則撕票
回到2014年5月,我們接收到一輪網(wǎng)絡(luò)釣魚,偽裝成MAILER-EAEMON郵件投遞失敗的通知,引誘收件人運(yùn)行Cryptolocker變種的安裝程序。幾周后,我接收到傳真主題的釣魚,它也會(huì)導(dǎo)致收件人中招Cryptolocker。通過(guò)檢查攻擊者的比特幣錢包,我們發(fā)現(xiàn)他們收取的贖金超過(guò)13w美元(比去學(xué)校門口敲詐小學(xué)生靠譜多了)。
6.攜帶PDF漏洞利用的ADP郵件:事關(guān)糊口,誰(shuí)能不緊張
由于這些郵件讓攻擊者有種高高在上的感覺(jué),并且可以激發(fā)收件人的各種情緒,如緊迫、恐懼及貪婪,工資主題的釣魚郵件就變得非常普遍。ADP釣魚有什么特別的地方嗎?那就是它攜帶了PDF漏洞利用,可以在PDF閱讀器插入shellcode。為了讓分析變得復(fù)雜,攻擊者使用多層zlib壓縮與難覓蹤跡的變量名。
科普:
ADP是全球最大的業(yè)務(wù)處理及云端解決方案提供商——服務(wù)涵蓋薪資處理、人才管理、人力資源管理、福利管理和考勤管理。
5. 稅務(wù)局?jǐn)?shù)據(jù)錄入釣魚:吃到嘴里的肉,甭想吐出來(lái)
冒充美國(guó)征稅機(jī)構(gòu)是一個(gè)屢試不爽的策略。自2014年8份以來(lái),此類型的釣魚郵件利用收件人獲得退稅的激動(dòng)心情,鏈接到收件人為退稅填寫支付信息的頁(yè)面,假設(shè)收件人會(huì)在釣魚頁(yè)面上輸入登錄憑證。在對(duì)釣魚頁(yè)面執(zhí)行開源情報(bào)分析后,我們發(fā)現(xiàn)相同文檔的使用可以追溯到2006年。
4. “榮耀歸于烏克蘭”釣魚:巧打政治同情牌
話說(shuō)2014年7月,Dyre新品種新鮮出爐,打包為宣稱含有屏幕保護(hù)程序的zip文件。這款惡意軟件非常有意思,但是釣魚郵件?釣魚郵件是一個(gè)簡(jiǎn)單傳真通知,被發(fā)送到PhishMe一個(gè)高級(jí)管理人員。
3.利用攻陷的edu域名傳播宙斯(ZeuS)病毒:請(qǐng)還學(xué)校一片凈土
2014年10底,我們接收到一份很普通的網(wǎng)絡(luò)釣魚郵件,包含著宣稱是支付消息的附件。這個(gè)附件實(shí)際上包含一種宙斯(Zeus)病毒。為什么它可以榜上有名?因?yàn)楣粽邚谋还ハ莸膃du域名發(fā)送郵件。教育機(jī)構(gòu)域名受人信任的特點(diǎn)與這些域名通常具有可觀的免費(fèi)帶寬為攻擊者提供了非常有吸引力的惡意軟件傳播平臺(tái)。
2.Dropbox 釣魚:欲愛不能,欲罷難休
像Dropbox的第三方云服務(wù)提供商的崛起為攻擊者提供一種在網(wǎng)絡(luò)中傳播污穢消息的新穎的手段。在2014年6月份一大波作為Dyre木馬先頭部隊(duì)的郵件中,我們接受到鏈接到Dropbox上所謂的發(fā)票文件。雖然Dropbox鏈接本身是合法的,但它指向一個(gè)zip文件,其中包含scr文件,而不是發(fā)票。Dropbox已經(jīng)迅速禁止這類型的濫用,可事實(shí)證明,攻擊者有大把的方法來(lái)繞過(guò)垃圾郵件過(guò)濾器。Dropbox的使用十分普遍,致使大多數(shù)組織不能夠禁止Dropbox連接。幾周后,我們?cè)卺槍?duì)臺(tái)灣政府的目標(biāo)式攻擊看到了濫用的Dropbox連接。
1. 攜帶Dyre惡意軟件的郵件:平凡之中的不平凡
2014年最臭名昭彰的釣魚郵件咋一看似乎很無(wú)辜。實(shí)際上,我們接收到兩份包含未知惡意軟件的郵件,郵件中的鏈接指向到第三方文件共享服務(wù)提供商Cubby。郵件內(nèi)容本身是平淡無(wú)奇的,其中一份郵件指示收件人打開發(fā)票的鏈接,而另一份郵件內(nèi)容更寬泛些,指示收件人打開詳細(xì)了解有關(guān)納稅失敗的鏈接。這兩份郵件均指向當(dāng)今臭名遠(yuǎn)揚(yáng)的惡意軟件Dyre,一個(gè)針對(duì)銀行信息和客戶數(shù)據(jù)的遠(yuǎn)程訪問(wèn)木馬(RAT)。Dyre的危害影響廣泛,已引起美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組(US CERT)的注意。
如果我們從2014年的網(wǎng)絡(luò)釣魚僅了解到一件事,那就是網(wǎng)絡(luò)釣魚攻擊者不斷重復(fù)(一點(diǎn)創(chuàng)新意識(shí)都沒(méi),這年頭制作棉花糖的大爺都與時(shí)俱進(jìn)了,附贈(zèng)棉花糖一份,搶到沙發(fā)請(qǐng)與客服聯(lián)系)。這點(diǎn)有助于我們?cè)谖磥?lái)防御網(wǎng)絡(luò)釣魚。盡管安全行業(yè)一直側(cè)重于IP地址和惡意軟件,我們也應(yīng)該關(guān)注策略、技術(shù)及協(xié)議。聚焦于郵件內(nèi)容、頭部及URL,提煉相應(yīng)的模式,并采取預(yù)防性的措施,可以提供多一層的網(wǎng)絡(luò)釣魚的防護(hù)。
京公網(wǎng)安備 11010502049343號(hào)