790
技術社區[雲棲]
網絡釣魚大講堂 Part3 | 網絡釣魚攻擊向量介紹
網絡釣魚攻擊的目的包括:
- 竊取數據及金融詐騙
- 高級持續性威脅(APT)
- 惡意軟件傳播
網絡釣魚這種攻擊方式早就存在,但至今仍受攻擊者青睞。在搭建了合適的釣魚網絡、收集了信息以及放置誘餌之後,攻擊者可入侵任何公司、組織甚或政府機構,造成極大破壞。實際上,時至今日,網絡釣魚仍是最有效、最受攻擊者歡迎的攻擊向量。
數據竊取與金融詐騙
根據PhishLabs於2016年所作研究,2015年22%的魚叉式釣魚攻擊的動機均為金融詐騙或其他相關犯罪。通過這種攻擊方式,攻擊者獲利頗豐,所以該類事件不勝枚舉。例如,2016年初針對木蘭健康公司(Magnolia Health)的攻擊中,一釣魚網絡假冒該公司CEO發送郵件。這就是所謂的偽造郵件釣魚攻擊,直接造成公司員工數據泄露,包括員工的社保號、工資標準、出生日期、通信地址、姓名全稱以及工號。
當然,木蘭公司並非個例。2014年底與2015年初就發生了有史以來最大的醫療行業數據泄露事件,這次的目標是Anthem公司。該事件泄露了3750萬份數據,涉及Anthem員工及病人。黑客竊取了姓名、通信地址、社保號、醫療識別號、收入數據、Email地址等,但並未竊取健康相關信息。
木蘭公司的數據泄露事件確認為網絡釣魚導致,Anthem事件中所運用的實際攻擊方法一直未有定論,不過,有專家認為應是網絡釣魚的變種。黑客先獲取了IT管理員憑證,在之後的兩個月中,隨意出入公司的數據庫。當然,Anthem對失竊文件未進行加密加劇了問題。
美國聯邦調查局(FBI)於2016年年中時發布警告,稱2016年上半年網絡釣魚攻擊造成的經濟損失高達31億美元。這還僅僅是6個月的統計數字。最主要的威脅來自於企業郵件入侵(BEC)攻擊。FBI還警告,“BEC詐騙數量持續增長,手段不斷翻新,各種規模的企業均是其目標。自2015年1月以來,確認由數據泄露造成的損失增長了1300%。全美50個州、全球100多個國家均有此類事件發生。報告顯示,詐騙金額被轉往79個國家,主要是位於中國和香港的亞洲銀行。”
網絡釣魚APT
APT也是一種網絡攻擊者喜歡的攻擊方式。總的來說,這是一種長期感染或安全漏洞,可能持續數周、數月甚至長達一年而不為人知。這些攻擊中沒有“最常見”的目標,基本上,任何人都可能被攻擊。各種規模的企業、非盈利組織甚至政府機構都可能遭遇APT攻擊。還有一點很重要,APT多與外國政府和軍方有關,而非常規的釣魚網絡。
過去幾年間有數起成功的APT攻擊。其中最有名的包括2009年的極光行動、2011年的HBGary Federal攻擊、同年發生的RSA攻擊以及之後的震網(Stuxnet)、APT1(涉及中國軍方)和APT28(涉及俄羅斯軍方)。這些攻擊持續時長不等,但方法相似,都始於魚叉式釣魚攻擊。
APT有如下特點:
- 持續進行活動;
- 目的明確;
- 一般針對行事高調的目標;
- 屬於“誘捕式”攻擊。
誘捕式攻擊指目標一旦上鉤,攻擊者便會長期潛伏,持續攻擊受害人。多數釣魚攻擊類似於肇事逃逸,持續時間相對較短,但APT會持續很長時間。之所以這樣,部分原因是受害者一般很難發現攻擊,因而也就無法進行響應。
如上所述,APT針對特定目標,以實現特定目的。APT的任務從竊取資金到收集敵對政府的情報甚至是實現政治目標不一而足。它們還經常針對數字資產,如核電廠設計或高科技原理圖。
典型的APT攻擊包括如下6個主要步驟或階段:
- 攻擊者收集目標的信息,常用方法是社會工程,其他方法還包括網頁抓取、通過聊天室和社交網絡進行人際互動等。
- 攻擊者構造並發送釣魚郵件和/或消息,內容針對目標量身定製,真偽難辨,包括真實姓名、電話號碼、地址以及用以騙取信任的其他細節信息。
- 目標打開郵件,進行操作:點擊鏈接打開受感染或偽造的網站,或下載受感染的文檔。不管哪種情況,目標都已受騙上鉤。
- 用戶所使用的係統被入侵。
- 入侵係統接下來會感染目標組織、公司或機構的整個網絡。
- 攻擊者伺機攻擊目標獲取數據。最後,APT組織會提取數據並進行解析和整理。
一旦感染並控製了目標,APT實施者便能夠進一步植入惡意軟件、病毒和其他威脅。例如,可部署遠程訪問木馬(RAT),讓APT組織長驅直入,訪問網絡中的任何數據。取得控製權後,APT組織會潛伏下來,監聽並竊取信息,直到受害人發覺網絡被入侵,而在這之前,攻擊者一般有充足的時間不慌不忙地收集數據。
惡意軟件傳播
有些釣魚攻擊誘騙用戶在假冒網站或Web表單中輸入信息以竊取憑證,而有些則有進一步企圖。惡意軟件由來已久,不過現在的它們比過去要高級得多。在受害者係統中安裝惡意軟件是釣魚網絡在滲透並感染目標公司或組織時最喜歡的一個方法。釣魚組織主要通過兩個手段實現這個目的。
其中一種是通過惡意附件感染目標係統。這種情況下,要精心構造郵件並發給個人。郵件中包含附件,或為Word/PDF文件,或為其他格式的文件。無論哪種情況,郵件發送人看似都很可信,比如,可能是同事、老板、金融機構等。
最好的情況是殺毒軟件在此類附件打開前進行掃描並檢測到惡意軟件。然而,即使是最新的殺毒軟件有時也無法對壓縮文件進行徹底掃描,風險依然存在。
勒索軟件在釣魚網絡中的地位日益凸顯,是最可怕的惡意附件之一。不過,勒索軟件還可以通過受感染網站下載,這意味著郵件附件並不是攻擊者的唯一選擇。勒索軟件恰如其名。這種惡意軟件先感染目標係統,然後進行加密,這樣就如同控製人質一樣控製了硬盤中的所有數據。在個人、公司或組織支付贖金後,攻擊者釋放文件。消費者、CEO甚或警察局都曾被如此勒索過。
通過附件傳播惡意軟件時還能使用宏病毒。這種病毒常用於感染微軟Office文件,啟動程序或進行特定操作都會觸發病毒。
釣魚網絡感染受害者時使用的另一個手段是惡意鏈接。這種情況下,郵件中包含的不是惡意附件,而是URL。郵件或社交媒體消息的目的是誘騙目標點擊鏈接。一旦點擊,計算機中就開始下載代碼,或者用戶被定向至病毒/偽造網站,惡意軟件乘機植入到計算機中。
惡意鏈接比惡意附件更有效,因為釣魚網絡竭力使消息看起來真實可信。前述木蘭公司攻擊中所使用的郵件就是這樣一個典型例子。郵件內容各不相同,但如下幾種最常見:
- 通知用戶其賬戶被黑或遭遇某種惡意行為;
- 通知用戶進行操作以避免賬戶被凍結或驗證身份;
- 通知用戶檢測到金融賬戶存欺詐行為。
其他類似方法還包括搶注域名和誤植域名,這兩種方法依賴的都是正確拚寫的URL的變體。搶注域名是指注冊和實際公司域名非常類似的域名,然後再模仿真實公司網站偽造另一個網站。誤植域名的過程大同小異,但利用的是輸入公司域名時常見的打字錯誤。
最後,網絡釣魚仍是攻擊者最靈活、最有效的武器之一。此外,隨著時間的推移,釣魚攻擊有增無減。公司和組織對於此類風險總是後知後覺,而在實施安全規程、進行必要培訓以抗擊日益增多的威脅方麵行動更為遲緩。之所以這樣說是因為安全事件越來越嚴重,受影響公司既包括家得寶這樣的零售公司,也包括Anthem這樣的大型企業集團。
本文作者:綠盟科技
來源:51CTO
最後更新:2017-11-02 17:04:28