冒充尼日利亞王子之類的伎倆早已過時——如今釣魚欺詐活動已經成為極為復雜的業務體系,即使是最具經驗的安全專家都有可能被其騙倒。
幾十年來,網絡釣魚郵件已經成為計算機領域中的一大安全禍根,當然我們也使出了渾身解數、努力將其扼殺在搖籃當中。時至今日,大多數普通用戶已經能夠通過標題行意識到其邪惡本質,并在發現之后直接將其刪除。而如果大家無法完全確定其性質并將其打開,那么其中過于正式的問候方式、詭異的國外發送地址、拼寫錯誤、荒謬到無法形容的獎勵內容描述乃至過于殷勤的產品推銷言辭都能夠讓我們立刻發現其背后潛伏著的危險因素,而這次釣魚活動也將在我們按下刪除鍵的同時宣告破產。
然而更進一步來講,無數真實案例已經證明,有針對性的釣魚行為目前仍然相當有效,即使是最具經驗的安全專家亦有可能被其騙倒。為什么會這樣?因為這類釣魚郵件由專業人士所精心設計,他們似乎了解目標受害者的業務內容、當前工作項目以及感興趣的方向。他們不會用中獎通知或者獎品發放之類拙劣的手段達成目標。事實上,如今的網絡釣魚在效果設計上已經不再限于簡單的經濟詐騙。
在今天的文章中,我們將分步了解目前最為先進的網絡釣魚活動,并分析我們該如何避免墜入由其精心布置的陷阱。
攻擊活動由專業犯罪分子精心布置
從傳統角度講,網絡釣魚郵件一般是由那些技術水平不高、寄希望于老套惡意手段的低端騙徒所制作:這類群體往往會隨意接著出一封草率的郵件,其內容有時候甚至愚蠢到令人無法直視。但從實際層面來講,這種釣魚嘗試也有自己的一套理論,畢竟只有那些會被這種低劣手段騙倒的對象,才有可能會在后續欺詐過程中遭受更加嚴重的損失。
不過網絡釣魚活動目前已經開始出現轉變。相當一部分專業犯罪分子以及有組織的犯罪集團意識到發送高質量的釣魚郵件能夠獲得相當可觀的經濟收益。由Brian Krebs撰寫的2015年暢銷書《垃圾王國》就追蹤了來自俄羅斯的多個專業犯罪團伙的崛起之路,這幫家伙每年能夠獲得數千萬美元收益,并受到多家大型企業的支持——其中部分企業甚至以合法的身份在證券交易所掛牌上市。
而接下來各國政府也開始參與其中,他們意識到只要能夠瞄準合適的攻擊對象,那么其經過精心偽裝的郵件將能夠幫助其輕松繞開固若金湯的安全防御體系。就目前而言,大部分高級持續性威脅(簡稱APT)都是通過發送電子郵件而在受害組織機構當中獲得初步立足點的。
今天的專業互聯網犯罪分子們也過著朝九晚五的正常生活,他們按時繳稅并享受輕松的周末與法定節假日。他們所效力的企業通常擁有數十到數百名員工,向當地執法部門及政客行賄,并常常被視為所在地區的理想就業選項。而且在為這類公司工作時,攻擊他國目標的行為往往被自豪地打上“愛國”的標簽。
這些專業黑客們采用相當正規的工作方式。其擁有由領導層帶隊的市場營銷渠道,旨在尋找那些愿意出錢竊取特定企業有價值信息的客戶。當然,他們也會定期自主攻擊任意受害企業,并將由此獲取到的信息作為商品在市場上兜售。
而研究與監測小組則負責收集與目標公司相關的組織結構、業務伙伴、可訪問服務器、軟件版本以及當前項目等重要信息。通過訪問目標企業的公眾網站并著眼于其防御手段相對薄弱的合作伙伴,黑客們能夠較為輕松地獲取到上述籌備信息。
上述調查結果將被交付至初步攻擊團隊,并由后者在目標組織內部建立入侵著陸點。該團隊正是整個犯罪體系當中最為重要的組成部分,其通常被劃分為幾個技術水平較高的分組,每個分組專注于突破特定領域:包括入侵服務器、發動客戶端攻擊、執行社交工程攻擊或者實施網絡釣魚攻擊。而網絡釣魚團隊將與調查團隊聯手,通過配合制定與受害者當前項目及業務議題相關的電子郵件模板。
當然,還有其它一些團隊與之進行配合。后門團隊在初步入侵完成后跟進,旨在通過植入后門木馬、創建新用戶賬戶以及在受害組織內部收集登錄憑據等方式確保自身繼續保持對目標的后續入侵能力。
接下來,與任何一家出色的咨詢服務公司一樣,攻擊方會派遣一支長期團隊專門應對該“客戶”。這支隊伍駐扎在受害者內部獲取重要信息以及與組織結構及VIP相關的細節內容。他們能夠在很短時間內摸清目標企業的現有防御系統特性,并了解如何加以回避。當有新型項目或者大規模數據上線時,該團隊會首先了解到相關情況。任何可能有價值的信息都會被復制下來并加以保管,這就做好了其今后進行批量銷售的基礎準備。
很明顯,這一切都與以往那些由腳本小子們在網吧里弄出來的邋遢釣魚郵件完全不同,正因為如此如今的釣魚攻擊更加富有成效。這些郵件的制造者擁有流水線級別的組織體系,而且他們也得通過面試,領取正規的薪酬、福利以及項目獎金。另外,惡意組織甚至還要求成員簽訂保密協議,并擁有專門的人力資源管理團隊以及各部門間政治協調等機制。
所以千萬不要掉以輕心:釣魚郵件已然實現了專業化轉型。
攻擊可能源自我們認識的人
如今的網絡釣魚郵件往往是由那些我們平日里能夠接觸到的人們所發出,而非什么“尼日利亞王子”。具體來講,釣魚郵件發送者可能顯示為我們的頂頭上司、團隊領導或者其他一些權威管理者,也只有這樣惡意人士才能確保受害者打開電子郵件,并依照郵件中的具體內容行事。
這些郵件可能源自外部,并通過偽裝讓受害者誤以為其來自某位企業高管的個人郵箱賬戶。畢竟我們每個人在日常工作當中,都或多或少收到過某位同事不小心使用自己個人郵箱賬戶發出的工作信件。所以在面對這種普遍存在的失誤時,我們一般不會聯想至其屬于攻擊活動的重要組成部分。
這類郵件可能會來自某個我們耳熟能詳的主流公眾郵件服務器(例如Hotmail或者Gmail等等),而發件人會自稱其之所以使用這個此前未見的賬戶,是因為其暫時無法順利登錄自己的工作郵箱——同樣的,我們也都遇到過這類狀況,對吧?
不過在相當一部分情況之下,這些偽造的釣魚郵件確實來自其他同事的真實工作郵箱地址——這可能是因為釣魚攻擊組織已經能夠從外部成功偽造郵件的原始地址,也有可能是其已經順利獲取到了員工的個人郵箱賬戶。而后者是目前較為常見的一種攻擊方式——畢竟咱們普通員工肯定會認真查看老板發來的郵件,而在點擊鼠標的一剎那、大家已經中招了。
攻擊中涉及我們當前正在進行的項目
很多網絡釣魚受害者之所以踏入陷阱,是因為攻擊者似乎確切了解他們當前正在處理的工作內容。這是因為網絡釣魚者們已經用了很長時間來進行研究,或者已經控制了某些企業同事們的郵箱及郵件內容。總而言之,釣魚郵件中可能包含“此為你一直在申請的XYZ報告”或者“我將你發來的報告進行了整理,結果如下”等極具誤導性的標題,而郵件還有著發送者添加的報告副本鏈接——不過請當心,其已經被替換成了會自動執行的惡意鏈接。另外,釣魚郵件中還可能探討某個項目的可行性,例如提問“你認為這些因素是否會對我們的項目造成影響?”或者“其它企業已經搶先一步實現了同樣的功能!”,而接下來仍然是被偽裝成該項目相關報道文章的惡意鏈接。
我曾經發現過某些釣魚郵件號稱由律師發出,旨在征集個人意見以支持兒童在父母離婚案件當中的影響能力。我還見過一些釣魚郵件發自某些專業機構的領導者,且直接面向其下屬的團隊成員。另外,還有一些由企業高管人士發出的釣魚郵件宣稱目前存在尚未解決的訴訟案件,要求接收者對對應的高度機密PDF文件進行“解鎖”。除此之外,我甚至見過一些偽裝成由安全專家發出的釣魚郵件,其中指出郵件內包含的是接收者最近剛剛購買并安裝的某款產品的最新安全更新,要求目標受眾盡快進行查看。
這些釣魚郵件的標題與主體內容已經不再是過去那種老套的“快來看!”。不,如今的釣魚郵件往往來自我們認識的人且包含準確的生活及工作相關信息,而這一切都極大提高了其可信度。在了解到這一切后,我們真的希望能夠回到過去——回到那個惡意郵件內充斥著親屬虛假身故消息與偉哥廣告的時代。
攻擊者已經在不斷監視我們的企業郵件
最近一段時間,有組織的攻擊者們開始對企業中的大量郵件賬戶進行持續監視。通過這種方式,他們得以獲取到必要的背景信息,從而更加順利地愚弄企業員工并了解到那些最敏感且最具價值信息的來源、傳遞方式及保存位置。
如果大家發現自己所在的企業已經遭到侵入,那么請首先假設所有高管成員以及VIP郵箱賬戶都已經被突破,且受到了長時間的監視。甚至針對惡意人士的初步檢測報告也有可能已經被他們所發現——總而言之,假定他們已經掌握了我們所擁有的一切信息。
當面對這種對手時,惟一的解決方案就是建立起一套“徹底獨立出去”的網絡體系,其中包括全新計算機以及新的郵件賬戶。除此之外,任何抵抗工作都可能是在浪費時間。
攻擊者能夠根據需要攔截并篡改電子郵件內容
如今我們的對手已經不再只是被動的信息獲取者。他們在必要情況下,甚至有能力攔截并篡改電子郵件的具體內容——雖然只能在一定程度進行篡改,但已經非常可怕。有時候他們能夠將郵件中的肯定意見修改為否定,或者將否定意見修改為肯定。此外,他們能夠添加更多收件人,對郵件分組進行調整,甚至關閉信息加密以及簽名機制。
根據我的經歷,最臭名昭著的實例之一就是某家公司已經意識到其受到高級持續性威脅的嚴重入侵。在某次嘗試光復網絡環境的行動當中,其幫助臺發送了一封電子郵件,要求每位收件人對其密碼內容進行修復。當然,這肯定會增加惡意入侵者的登錄難度——除非其已經控制了幫助臺自身的電子郵箱賬戶。在發送這封電子郵件之前,入侵者修改了其中的嵌入式鏈接,從而使其獲取到了來自用戶密碼內容的副本——換言之,一輪密碼變更導致公司上下的所有賬戶都被入侵者所掌控。是的,用戶們積極遵循著“幫助”臺的指引,但卻反而讓入侵者捕捉到了每條變更密碼的具體內容。
攻擊者利用定制化或者內置工具破壞殺毒軟件
過去幾十年來,釣魚郵件一直利用常見的惡意工具作為輔助手段。然而如今惡意人士開始采用定制化工具來偽造并加密自己的邪惡意圖,或者將程序內置在受害者所使用的操作系統當中。由此帶來的結果非常明顯:我們的反惡意掃描工具無法檢測到這些惡意文件或者命令。而當犯罪團伙入侵到我們的網絡內部之后,他們也會非常謹慎地利用同樣的方式進一步完成滲透。
利用受害者內置腳本語言(例如PowerShell以及PHP等等)編寫而成的惡意腳本已經快速成為攻擊者們的首選方案之一。PowerShell甚至直接出現在了惡意軟件工具包當中,這最終使得純PowerShell型惡意程序成為可能。
而進一步助長這類趨勢的現實情況在于,我們很難利用反惡意軟件甚至是司法取證方式來檢測某款合法工具是否被用于實現邪惡意圖。舉例來說,遠程桌面協議(簡稱RDP)連接就是非常典型的代表。幾乎每一位管理員都會使用這項協議,惡意人士也是同樣。在這種情況下,我們將很難證實特定遠程桌面協議連接到底是否在實施邪惡的勾當。不僅如此,我們也幾乎沒辦法在不影響正常員工常用工具的前提下,通過移除合法工具來清理系統并挫敗攻擊者的陰謀。
攻擊者通過軍用級加密技術對受害者數據進行傳輸
利用隨機選定的端口將數據從內部網絡中復制出去的時代已經過去了。同樣的,如今攻擊者們也不再通過常見的保留端口(例如IRC端口6667)以遠程方式進行命令發送與惡意控制創建。
如今利用SSL/TLS端口443作為惡意程序工作面已經成為業界共識,其同時還會配合軍用級別的AES加密機制。大部分企業都很難對端口443流量進行追蹤,其中相當比例甚至壓根不會嘗試。如今企業越來越多地利用防火墻以及其它網絡安全設備對入侵者的443數字證書加以替換,從而實現443流量獲取。不過當443流量中的數據經過了AES加密,那么取證工作將基本宣告失敗。這雖然令人無奈,但卻也是殘酷的現實。
惡意軟件編寫者對于標準化加密機制的運用可謂爐火純青,甚至連FBI方面都會直接建議勒索軟件的受害者們直接付款來解決問題。事實上,如果大家發現某款惡意程序運行在非443端口之上且沒有經過AES加密來掩蓋其行蹤,那么其始作俑者很可能只是一位技術水平低下的腳本小子。另外,即使我們找出了這類安全隱患,其恐怕也已經在大家的系統當中駐留了相當長的一段時間。
攻擊者會努力掩蓋自己的行蹤
直到幾年之前,大多數企業還完全不必對自己的日志文件太過重視,或者說即使進行處理,他們也不會進行刻意收集并對其中的可疑事件發出警告。不過時代已經不同,如今IT防御者們如果沒能啟用日志檢查并將其納入日常工作,那么將被視為一種嚴重的失職。
惡意人士能夠利用各類技術,例如命令行與腳本命令,對日志記錄加以應對,從而顯著降低其被事件日志記錄工具發現的可能性。其甚至有可能直接在肆虐之后將日志文件全部刪除。一部分水平高超的攻擊者還會利用工具包程序,從而通過對操作系統的惡意篡改來跳過包含其惡意工具執行痕跡的一切實例。
攻擊者已經在我們的環境當中潛伏多年
專業犯罪團伙潛伏在受害者網絡內部的平均時間——也就是從入侵成功到被發現的時長——通常為數個月甚至數年。我接觸過的一些企業就面臨著這樣的狀況,其內部環境已經遭到多個犯罪組織的侵入,而潛伏期最長的一個已經在這里游蕩了八年。
根據權威性極高的《Verizon數據泄露調查報告》所言,大部分內部數據泄露事故都是由外部合作方首先發現的。在大多數情況下,這是因為外部合作方自身也已經遭到到多年入侵,而在其取證調查過程中發現其數據、攻擊者位置或者中繼點來源于另一家公司。
我曾經向多位客戶提供過咨詢服務,他們紛紛表示惡意人士已經在其網絡內部肆虐多年,甚至惡意軟件的植入已經成為該公司習以為常的狀況——每一臺新計算機在引入后都會瞬間染上惡意軟件。我還見過一些木馬以及惡意程序多年來一直隨意傳播,因為IT人員始終認為其屬于組織內部某些部門的必要軟件組件。好吧,這種愚蠢的假設肯定是黑客們的最愛。
攻擊者根本不怕東窗事發
曾幾何時,釣魚攻擊者會快速潛入我們的企業,竊取資金或者重要信息,而后立刻人間蒸發。快進、快出,盡可能縮短作案時間,這意味著其被捕獲、識別以及起訴的可能性也會被降至最低。
如今的攻擊者往往身處國外,在那里我們的法律管轄權以及定罪權全部無法生效。我們甚至可以利用法律證據來揪出黑客犯罪團伙、其中的成員乃至他們活動的物理位置——但也就這樣了,我們的執法權對他們根本不起作用。
在過去十年我所經歷過的大多數攻擊活動當中,黑客們即使被發現了也不會掙扎逃脫。當然,他們會盡量避免自己被抓獲,但一旦東窗事發,他們只會更公然、更囂張地組織入侵——我們的現有制裁手段在他們面前真的非常無力。
時至今日,在這場貓鼠游戲當中,老鼠一方已經徹底了全部主動權。起初我們意識不到他們的侵入活動,也不清楚他們能夠以多少種方式實現突破——畢竟安全事故的源頭很可能只是某位員工不小心打開了惡意郵件。而最終,即使我們掌握了一切證據,仍有很大機率只能自認倒霉。
我們能夠做些什么
防范工作需要先以培訓起步,即教育員工關于網絡釣魚攻擊的最新現實情況。相信每個人都已經了解到那種充斥著大量拼寫錯誤以及不切實際的獎勵承諾的老套釣魚郵件,但現在這已經不再是我們的關注重點。我們要向員工解釋新型釣魚郵件的精妙之處,告訴他們專業犯罪團伙很清楚該如何調整自己的攻擊手段,從而讓惡意郵件看起來就像由同事等受信對象發來的合法信息一樣。
接下來,員工應當意識到在其點擊并運行郵件內可執行文件或者打開任何未知文檔之前,必須首先進行單獨確認(例如通過電話或者即時通信機制)。如今快速確認已經應該成為盡職性調查的必要組成部分。另外,提醒員工在發現任何可疑狀況時及時匯報。如果他們不小心做出了任何事后看起來較為可疑的操作,那么也需要馬上向技術部門發出通知。最重要的就是從心理層面消除員工在被愚弄之后產生的恥辱感與尷尬心態。要讓他們知道,任何人——包括經驗豐富的安全專家——都有可能被欺騙,這一切都要歸結于當下極端復雜的攻擊手段。
很多企業正在積極通過模擬網絡釣魚對員工的應對能力進行測試。不過需要提醒各位的是,這些測試應該盡量使用復雜度更高的郵件模板,而非過去那樣拙劣不堪的老套路。另外,我們還需要對個別員工進行針對性測試,從而將易受愚弄的員工比例控制在較低水平。通過這種方式,員工將能夠在面對任何要求其提供登錄憑證或者程序執行權限時首先向技術部門詢問。總而言之,讓員工在面對合法郵件時也保持懷疑的態度將標志著我們的培訓已經取得了喜人的進度。
最后,如果已經有網絡釣魚攻擊在企業內部成功起效,那么請利用該釣魚郵件以及受害員工的證詞(如果他們值得信任且愿意作證的話)來幫助其他企業更深刻地理解當下的網絡釣魚環境。任何能夠帶來新啟示以及新經驗的經歷都值得在各行業當中廣泛共享。
總結起來,要想真正抵御住日益演進的入侵行為,我們必須讓企業中的每位成員意識到如今的網絡釣魚郵件在表現形式上已經完全不同于以往。與時俱進、緊跟形勢,這才是最理想的攻擊應對之道。
原文標題:10 reasons why phishing attacks are nastier than ever
京公網安備 11010502049343號