尼日利亞王子電郵一類的東西不值一提
今時今日的針對性網絡釣魚之復雜,甚至連最有經驗的安全專家也會上當
網絡釣魚電子郵件幾十年以來一直是計算機世界的禍害,盡管我們做了最大的努力對其進行打擊,努力卻沒有什么成效。我們大多數人一看電郵的主題就知道是釣魚電郵,會將其刪除,不會打開它。有時候我們不能完全確定是不是釣魚電郵,打開后也會即刻從內容上知道發郵者是在釣魚,這種郵件的特點是稱呼非常正式、外國血統、拼寫錯誤以及非常賣力地想送給我們幾百萬不勞而獲的美金或是向我們兜售疑點重重的產品。在大多數情況下,這種網絡釣魚之舉威脅頗小,我們用刪除鍵就解決了。
現在來看看針對性釣魚(Spearphishing):針對性的釣魚法行之有效,甚至可以對付最有經驗的安全專家。為什么呢?因為這些釣魚法是出自專業人士之手,他們似乎了解你的生意、你目前的項目、你的興趣等等。他們不會試圖向你推銷任何東西,或自稱可以送錢給別人。事實上,時下的針對性釣魚的目的往往要比簡單的盜竊金錢險惡得多。
下面我們就來看看當今最先進的針對性釣魚個各類招數——以及如何防止自己誤中他人的高招。
招招出自專業罪犯之手
傳統上,網絡釣魚郵件出自一些下三路的騙子,他們采取的辦法是廣撒網:草草的一個信息,然后大肆發放垃圾郵件。總歸有人上當。事實上,網絡釣魚的意圖越明顯越好,原因是這樣可以確保抓住的是最容易上當的糊涂蛋。
一路走來,套數變了。專業犯罪分子和有組織犯罪團伙開始意識到,發些更像樣的垃圾郵件可以撈到不少錢。布賴恩·克雷布斯(Brian Krebs)2015年的暢銷書《垃圾郵件國度》跟蹤了專業犯罪團伙在俄羅斯的興起,這些團伙每年進賬數百萬美元,支撐著多個大公司,其中一些公司披著合法的外衣,其股票可以在證券交易所買進賣出。
一些主權國家也加入了這個游戲,他們意識到精心制作的電子郵件可以幫助他們繞過最堅固的防御,要做的是瞄對員工。今天的絕大多數高級持續性威脅(APT)都是通過發幾封電子郵件到公司內部的受害者而找到最初的落腳點。
現在的專業網絡犯罪分子每天朝9晚5上班、繳稅、周末和節假日不上班。他們工作的公司往往有幾十名到幾百名員工,公司會賄賂當地執法部門和政治家,公司也往往被視為其所在地區的首選雇主。這些公司為的就是攻入其他國家的企業,在這種公司工作常常像戴著一枚愛國徽章一樣值得自豪。
這些專業黑客作坊雇了一隊隊的勞動力。營銷團隊往往是由高管負責,找愿意付錢攻取一個特定公司的信息的客戶,通常這些公司也會按要求攻擊任何一家公司,然后將所得信息作營銷用。
而研究和監測小組則負責收集有關目標公司的組織結構、業務合作伙伴、可從網絡訪問的服務器、軟件版本和當前項目的信息。他們通過訪問目標公司的公共網站以及闖入相關公司的一些保護較弱的商業合作伙伴獲得大部分的信息。
所獲取的信息會交給一個初步攻擊人員團隊,他們從目標組織內部建立錨點。該團隊是專業黑客作坊里最重要的團隊,它又被分成幾個技術小組,每個小組重點負責一個特定的領域:攻入服務器、啟動客戶端攻擊、進行社會工程攻擊或展開針對性釣魚。針對性釣魚小組與研究小組緊密配合,他們會和設計電子郵件模板的人員一起將各類相關的議題和項目混合起來。
另外還有其他團隊。建立了初始入口后,后門團隊接手,確保以后可以方便進入,他們會植入木馬后門、創建新的用戶帳戶以及清理受感染的組織中所有的登錄資料。
還有,和所有上等的咨詢公司一樣,會有一個長期團隊專門負責該“客戶”。該團隊的作用是四處尋找詳細介紹組織結構和組織主要人士的重要信息。在很短時間內,他們就會知道公司建立的每一個防御體系以及如何繞過它。當一個新的項目或大量數據上線時,該團隊就會第一時間知道。任何有潛在力的信息都會被復制保管起來,以備在以后銷售時派上用場。
過去我們聽說的大凡是一個編程毛孩子在網吧草草地寫個電子郵件,現在不一樣了,這也就是為什么今天的釣魚攻擊效率要高得多。現在這些事就是一份全職工作,要在面試過關斬將才會被雇傭,工資、福利和項目獎金一應俱全。甚至還要簽保密協議,也有HR麻煩和部門政治。
可別搞錯了:釣魚郵件專業化了。
攻擊是熟人發送的
今天的針對性釣魚郵件往往來自一個熟人,你基本上每天都和Ta交換郵件,針對性釣魚郵件不是來自尼日利亞王子。這些郵件經常看上去是老板、團隊負責人或其他管理層的權威人物發的,以確保受害者會打開電子郵件,而且還可能會照郵件所說的去做。
這些電子郵件也可能來自外面的、相似的電郵賬戶,目的是要和權威人士的個人電子郵件帳戶相似。誰沒有收到過同事不小心用自己的個人賬戶發的與工作有關的電子郵件呢?我們都知道這種錯誤時有發生。
這種電郵也可能來自與流行公共電子郵件服務器(Hotmail、Gmail等等)相似的賬戶,發送者自稱現在用這個以前沒用過的帳戶,因為他們的工作電子郵件被鎖住沒法用了。還是那句話,誰沒經歷過這種事呢?
但最可能的是,假冒釣魚郵件看起來是來自其他人真正的工作電子郵件地址,有兩個可能的原因,一是因為網絡釣魚組織能夠從外部發送虛假的工作電子郵件地址,或是因為網絡釣魚組織已經成功地攻破對方的電子郵件帳戶。后者已經成了流行的攻擊方式,誰會不去點擊老板發來的鏈接呢?
攻擊包括你正在做的一個項目
許多針對性釣魚受害者墜入陷阱是因為發送者似乎知道他們目前正在做什么項目。原因是這些發起針對性釣魚的人在這上面花過時間,或是他們已經控制一個同事的電子郵件帳戶有一段時間了。電子郵件可能包括一個諸如“這是你正等著收取的某某項目的報告”或“這是我對你發來的報告的修改”的主題,電郵還有一份最初由接收方發送的附加副本,不過里面加了個新的、自動運行的惡意鏈接。主題也有可能會提到一個項目的可行性,諸如“你覺得這會影響到我們的項目?”的問題或諸如“有人擊敗了我們!”的感嘆,郵件里則會有一個鏈接,指向似乎與項目相關的惡意新聞文章。
筆者見過聲稱是來自律師的郵件,說是要求增加某個正在辦離婚的人的子女撫養費。筆者也見過專業組織領導人發給全部組織成員的釣魚郵件。我也見過發給C級官員的電子郵件,聲稱手里擁有正在打官司的案件信息,電郵要求接收者運行可執行文件對附件里的保密PDF文件“解鎖”。我見過發給IT安全專家的虛假更新,聲稱電郵含來自供應商提供的安全更新,是給他們最近購買和安裝的一個產品用的。
電子郵件的主題和正文內容現在已經不是“看看這個!”一類的東西。現在不一樣了,針對性釣魚電子郵件來自你信任的、你正在做的一個項目里的人。閣下在讀了這么多以后,怕是巴不得收到的電郵是有關假的親人病危消息和偉哥廣告,收到此類電郵畢竟不是那么令人擔心。
你的攻擊者一直在監視你公司的電子郵件
今時今日,公司攻擊者無時不在監控著你公司的幾十個電子郵件帳戶。他們這樣做是為了獲取用來欺騙你同事的資料,并且獲取你的公司里最敏感和最有價值的信息。
如果你發現公司已經被侵入,那就要假定所有C級員工和VIP電子郵件帳戶已經被攻陷,而且要假定已經有很長一段時間是這樣了。甚至一開始的發現壞蛋的報告都有可能被壞蛋讀到。他們知道你知道什么。
面對這種對手,唯一的解決方案是用一個完全“帶外”(Out of band)的網絡,包括全新的電腦和新的電子郵件帳戶。用別的方法可能只是浪費時間。
你的攻擊者可以攔截電郵并根據需要更改電郵
今天的對手不只是被動地讀電郵。他們可以攔截電郵并且在有需要時修改電郵,盡管改得不多。批準的決定可能會改成不批準;不批準的決定可能改成批準。有時,重要的接收者會從電子郵件的接收者列表中被刪除。可能會加進幾個接收者。電子郵件群可能被修改。加密和簽名可能被關閉。
在筆者讀到過的最糟糕的例子之一里出現如下情況,這個公司知道遭受嚴重APT破壞。為了重新收回網絡,網絡管理發了一封電子郵件,要求所有收件人更改密碼。網絡管理當然認為,這樣做可以使惡意入侵者待不下去——只不過入侵者已經控制了網絡管理的電子郵件帳戶。就在電子郵件被發出的那一刻,入侵者修改了嵌入的鏈接,修改密碼的人點擊鏈接后就會來到一個和公司修改密碼頁面一模一樣的網站,而這個網站是由入侵者的控制的。用戶遵從網管的指令,而這樣做以后卻使得入侵者能夠得到所有更改后的密碼。
攻擊者使用定制工具或內置工具破壞殺毒軟件
數十年以來,釣魚郵件的附件用的是一些日常惡意軟件工具。而今時今日,他們使用的是定制工具,特意為你打造并經過加密,他們或是利用內置在操作系統里的程序。結果是一樣的:反惡意軟件掃不到這些惡意文件或命令。而當壞蛋們出現在你的網絡上時,他們也小心地只運行相同的東西。
一些用受害者的內置腳本語言(PowerShell中、PHP等)寫的的惡意腳本正在迅速成為首選工具。PowerShell甚至還出現在一些惡意軟件工具包里,這些包最終可以制造出僅含PowerShell的惡意程序,網上可以找到這種例子。
另外,現在的反惡意軟件甚至刑偵調查都很難確定正當的工具是不是用作很邪惡的目的。這就使得上述的威脅火上加油。就拿遠程桌面協議(RDP)連接做例子。幾乎每個系統管理員都用RDP。但當壞人也用它時,就可能很難確定什么時候的RDP連接是在干壞事。而且,要挫敗攻擊者就只能是移除好人也用的合法工具,而好人卻是靠這個工具來清理系統。
你的攻擊者在將你的數據搬回家時用的是軍用級加密
以前惡意軟件使用隨機選的端口來復制你網絡上的數據,這種日子已經一去不復返了。同樣,使用傳統保留端口(如irc端口6667)發送命令和遠程控制惡意創作的日子也一去不復返了。
現在的惡意程序用的是SSL/TLS端口443,并使用業界公認的、軍方認可的AES加密。大多數公司都管不了443端口的流量,大部分甚至試都不試。各個公司越來越多地使用防火墻和其他網絡安全設備作為管理443端口的流量的方法,其做法是用自己的數字證書取代入侵者的443數字證書。但如果443流量中的數據使用AES加密過的,這樣做對刑偵調查沒有用。得到的都是些沒有意義、亂七八糟的東西。
惡意軟件編寫者使用的加密標準是一流的,連FBI也沒辦法,只能告訴勒索受害人還是交錢算了。事實上,如果發現有惡意程序在443以外的端口運行而且沒有用AES加密掩蓋其蹤跡,那這個惡意程序可能是出自腳本毛孩子之手。或者是,該惡意程序已經在你的環境待了很長一段時間了,只不過你到現在才發現它。
你的攻擊者會隱藏自己的蹤跡
直到最近的幾年,大多數公司從不會費心去啟用日志文件,或者即便啟用了也不會去收集可疑事件發出的警報。時代變了,現在的IT捍衛者如果沒有啟用日志和每天檢查就將被視為失職。
對此,壞蛋們支出新招,轉用命令行和腳本命令等技術,這些不太可能被記錄在事件日志里,他們或是在完事后會刪除日志。一些更高級的攻擊者則利用rootkit程序,這些程序對操作系統進行惡意修改,以跳過自己的惡意工具實例的執行。
你的攻擊者在你的環境中待了多年了
職業犯罪組織從開始潛伏在受害者公司的網絡里到被發現的平均時間通常為幾個月到幾年。我經常與一些公司合作,他們的網絡里居然潛伏了多個專業團伙,有的在里面待了長達八年之久。
名聲顯赫的Verizon數據泄露調查報告常常有報道,指大多數內部泄露是從外部發現的。而在大多數情況下,之所以這樣是因為外部的這一家被攻陷多年后,在取證調查時會發現自己的數據或攻擊者是來自或被發往另一家作為一個中轉站的公司。
我給幾個客戶做過咨詢項目,壞蛋在公司待了超長時間,以至于惡意軟件成了公司黃金映像的一部分,即是說,每一個新電腦都含惡意軟件。我見過木馬程序在一家公司流傳多年并被放行,原因是IT人員以為這個木馬程序是個必用的軟件組件,以為是同一組織內的另一個組放置的。黑客大愛這一類的假設。
你的攻擊者不怕被逮住
曾幾何時,網絡釣魚者進入你的公司,竊取金錢或信息后就會盡快消失。快進快出,被逮住、被指證、被起訴的機會就小。
而今天的攻擊者可能身處國外,你的法律管不著,拘捕令沒有用。你甚至可以(通過法律證據)在地方當局指認黑客公司、黑客和物理地址,但可能什么也不會發生。
過去10年里,有人在受到攻擊時常常請我去做補救,大多數情況下,黑客被發現后并不會跑掉。可以肯定,他們不想被發現,但一旦被發現后,他們卻會更自由更大膽,好像限制被取消了一樣。
到最后,補救就是一個貓捉老鼠的游戲,老鼠卻占盡優勢。第一,你并不知道他們攻陷了什么,也不知道他們有多少種方法可以再回來。而這些全都是因為某人打開了一個針對性釣魚電子郵件。
你可以做什么
補救的第一步是要教育所有的員工,讓他們知道針對性釣魚攻擊的新現實。大家都知道舊式網絡釣魚電子郵件是什么樣子,錯別字滿篇、可以輕易得到的幾百萬美金的承諾等等,這些已無須太擔心的了。要向員工解釋新的針對性釣魚電子郵件,告訴他們針對性釣魚電子郵件是出自職業罪犯之手,告訴他們職業罪犯知道如何將電郵做得像是來自被同事信任的人。
應該有人告訴員工,在點擊運行程序或打開不明文件時要先用別的方法(如電話或即時通訊)確認。隨時確認在今時今日要成為日常核實工作的一部分。要告訴員工隨時報告任何可疑的東西。如果他們不小心運行了什么,而后來覺得值得懷疑就應該及時報告。不要覺得被愚弄了是件丟人和尷尬的事,這一點很重要。要讓他們知道,由于攻擊太復雜,任何人今天都可能被騙,即便是安全專家也不例外。
許多公司會不斷用假冒的釣魚手法來測試他們的員工。這樣做時應該使用復雜的網絡釣魚電子郵件模板,不要用類似以往的網絡釣魚做法。要持續地測試每個員工,直到很容易被騙的員工達到很低的比例。如果做法的當,這樣做可以使你的員工質疑任何來歷不明的、要求輸入個人資料的電子郵件以及在執行程序時更加小心。如果最后員工開始質疑你的合法郵件,這是個可喜的現象,說明教育計劃成功了。
最后,如果針對性釣魚的做法不幸在你的公司得逞了,這時可以利用真實的網絡釣魚電子郵件以及被騙員工的現身說法(如果他們非常受歡迎和值得信任),以針對今天的針對性釣魚環境對其他人進行教育。這種發生在前線和中心的教訓應該受到歡迎。
預防的關鍵是要讓大家認識到,今時今日的針對性釣魚電子郵件與過去的事不可同日而語。
京公網安備 11010502049343號