754
技術社區[雲棲]
網絡釣魚大講堂 Part4 | 網絡釣魚攻擊戰術
要防護網絡釣魚攻擊並製定相應計劃,深入了解攻擊者很關鍵,需要更多地了解此類攻擊過程,包括從初始計劃及準備階段到釣魚網絡如何協助攻擊發生,再到提交誘餌並收集數據 這些信息不僅可以幫助企業和組織對不可避免的攻擊做到有備無患,在他們製定對抗攻擊的關鍵步驟時還能提供重要的參考,有時甚至可以預防攻擊。盡管無法保證攻擊者不攻擊您或您的企業,但請記住“凡事預則立”。
計劃與準備
像任何軍事活動一樣,網絡釣魚攻擊都是從很多瑣碎的工作開始的。發起攻擊前,需要進行大量的研究和細致的計劃與準備。很多情況下,這些都不是一蹴而就的。它們是精心策劃的攻擊,能夠讓任何戰術家引以為傲。
收集信息 — 第一步
策劃網絡釣魚攻擊的第一步是搜集信息。釣魚組織(多數情況下,為團夥或網絡,並非牟取一己私利的獨立黑客)必須確定攻擊目標,然後搜集可讓攻擊滲透任何安全協議的重要信息。大多數黑客組織利用互聯網中繼聊天(IRC)進行策劃和戰略溝通,並討論攻擊目標、攻擊方法等,因為IRC是匿名的,並且安全。
釣魚組織以團夥或網絡形式出現,通常沒有核心領導。釣魚組織被稱之為“無標度網絡”,他們按照組織的一致意見行動而不受中央源的指導。Avalanche Gang就是一個典型例子。Avalanche Gang於2008年成立於東歐,並被認為對2009年大多數攻擊和破壞活動負責。有趣的是,Avalanche Gang是從一個更久遠的名為Rock Phish的組織中分裂出來的。二者均已解散,但未有任何成員被捕,因此這些黑客一定還存在,一直在密謀和竊取數據。
組織形成並開通在線聊天後,成員們便開始執行具體任務。有的負責設計釣魚網站,有的負責對郵件和圖片進行編碼,有的負責創建組織將會使用到的郵件文本或通知,還有的負責在互聯網上廣撒網,尋找可用於攻擊目標的信息。他們盡力獲取員工姓名、社交賬戶信息等。
在確定主要目標和組織內作為切入點的具體個人後,釣魚團夥就會開始下餌。誘餌可采取任何不同形式,但最常見的是設計用戶擔憂或關注的郵件內容,提供鏡像預期訪問網站的釣魚網站地址。例如,2008年的鯨釣攻擊(針對公司高管)中利用的是虛假傳票郵件。郵件中包含每位高管的準確個人信息,包括姓名、電話號碼和地址,看起來非常真實,導致2000位不同的高管人員信以為真。
請好好思考一下。這些都不是知之甚少的低級別員工,而是有多年經驗和商業頭腦的高級領導。他們都信以為真並點開了郵件鏈接。然而,該鏈接並不是提示他們輸入賬戶名稱和登錄,而是鏈接到一個可秘密下載惡意軟件到他們計算機上的網站。該惡意軟件可記錄鍵盤操作,獲取賬戶信息。
這隻是其中一例。攻擊者手上有很多攻擊武器,包括:
- 提醒賬戶餘額不足或檢測到賬戶中存在惡意活動的銀行郵件
- 免費贈品,上至高價值獎品,下至免費食品
- 虛假社交通知,如Facebook發來的關於朋友添加了本人照片的提醒
- 網絡安全公司發來的關於賬戶被攻擊的告警,通常包括聯係人信息、合法公司名稱和URL。攻擊者表示,實現這一切隻需輕輕一點,剩下的就交由曆史了。通過訪問被攻擊主機,攻擊者幾乎可以做任何事情,包括植入惡意代碼、下載病毒和獲取數據。在某些情況下,攻擊組織可訪問重要的公司數據長達數月、甚至數年之久。
釣魚網絡
如上所述,網絡釣魚攻擊通常不是一個獨立的攻擊者 而是團隊完成的。這些團隊被稱之為釣魚網絡。你可以把他們想象成任何其他的商業網絡,團隊成員技能互補,一起為實現共同的事業或目標而努力。攻擊者表示,實現這一切隻需輕輕一點,剩下的就交由曆史了。通過訪問被攻擊主機,攻擊者幾乎可以做任何事情,包括植入惡意代碼、下載病毒和獲取數據。在某些情況下,攻擊組織可訪問重要的公司數據長達數月、甚至數年之久。
很久之前,攻擊者常常各自為戰。這種情況可追溯至20世紀80年代,Dr. Rapp開發了一款木馬病毒,通過計算機軟盤進行傳播。然而,攻擊者很快就意識到人多力量大。大約在2006年,網絡犯罪分子開始團結起來形成網絡進行信息交換、相互學習、取長補短,並攻擊個人無法實現的目標。
所以,這些團隊是如何運作的? Cloudmark對典型釣魚網絡進行解析,以此來說明他們吸納具有理想技能的個人成功攻擊任何組織(無論規模或行業)是何等容易。通常,他們中包括專注於批量郵件策略(包括精通語法技巧)的個人,還包括模板設計師、服務器管理員、購買可用於生成虛假借記卡等財務信息的出納員,以及運行自動化腳本的僵屍機。
當然,事實遠非如此。很多技術可用來增強釣魚網絡。例如,Avalanche Group利用僵屍網絡(由被攻擊PC組成)提供釣魚網站,誘騙用戶主動提供目標信息。釣魚軟件包和工具的作用是了解初始攻擊的理想場所。
聊天室在釣魚組織的成功中發揮著重要作用。因為聊天室成員都急於尋找聊天對象,因而更容易受到釣魚攻擊影響。事實上,賽門鐵克在2013年發現了這樣一個釣魚組織。該組織使用一款亞洲聊天應用程序,表麵上讓用戶與印度和巴基斯坦婦女交談,但實際上竊取了用戶的賬戶憑據。
釣魚組織還具有利用受感染PC創建僵屍網絡的專有技術和動機。通過將這些受感染的機器組成一個網絡,他們能夠實現更大的目標。最初的感染可能來自任何來源,包括路過式下載、木馬、包含受感染站點鏈接、甚至受感染文件的郵件,以及“快速通量”(fast flux是一種DNS技術,可將受感染站點隱藏在代理後麵)。
簡而言之,這些釣魚組織複雜而又老練。他們規模大,傳播廣,且獨立自治。個人成員都是匿名的,他們動機明確,技術精湛。通過把這些技術精湛的人員(技術包括網站設計、病毒編碼、有效寫作、安全漏洞識別與策略)聚集在一起,這些網絡可以對最大的企業、組織甚至政府機構構成威脅。
下餌與信息搜集
網絡釣魚攻擊都要使用誘餌。釣魚網絡竭盡全力獲取員工或主管信息,但若不能創造出誘人的餌,所有的努力都是徒勞。因此,誘餌非常重要。若誘餌不引人注目,目標就不會采取預期操作(例如單擊鏈接)。這意味著攻擊者失去了攻擊目標,無論是入侵PC、財務信息還是個人數據,或其他完全不同的內容。釣魚網路使用的誘餌的形式多種多樣。
最常見的是偽造郵件。這種情況下,郵件被偽裝成看似來自組織內部人員的郵件。偽造的郵件看上去非常真實,包括郵件發送域名,,很難被檢測到。此類郵件的目的五花八門,最常見的目的是讓收件人:
- 點擊鏈接進入釣魚網站,此時收件人憑證可能會被盜或有惡意軟件下載到他們的計算機上
- 直接提供發件人要求的某類信息,通常是賬戶憑據或其他信息,幫助攻擊者實現其目標
- 下載受感染文件(Word、Excel或PDF格式)
- 點擊鏈接進入網站,並下載蠕蟲到自己的電腦上,從而竊取收件人的通訊錄聯係人信息,並發送更多虛假郵件
當然,發送虛假郵件隻是攻擊者的手段之一。他們也可進行所謂的“克隆釣魚”。這種情況下,攻擊者誘騙郵件收件人讓其誤以為郵件是是對先前消息的回複或是認識的人轉發的消息或文件。
攻擊者還會使用暴力釣魚。暴力釣魚恰如其名。在這種情況下,攻擊者將創建由隨機數字和字母組合而成的子域,與公司主要的郵件發送域相關聯。這一方法之所以奏效是因為大部分公司都有不止一個郵件發送域,並且其中一些郵件發送域還不支持DMARC協議。
Chatbot是攻擊者投給潛在受害者的又一種誘餌。為實施這種攻擊,首先建立社交網絡。Chatbot發送一個朋友請求,當接收人接受請求,Chatbot幾乎立即向目標個人發送包含鏈接的信息。該鏈接聲稱包括對攻擊目標很重要的內容(請記住,釣魚組織已做過研究且了解什麼能讓目標個人“怦然心動”)。
上鉤
任何網絡釣魚攻擊的終極目標都是讓目標“上鉤”。一旦下餌,目標上鉤後,好戲就開始了。至此,攻擊者可訪問其需要的信息。若獲取了管理員憑證,攻擊者可以做很多事情,包括誘騙其他用戶。在最壞的情況下,攻擊者利用DNS緩存汙染接管整個服務器,並將所有流量重定向至釣魚網站。攻擊者還能夠截獲數據,甚至掃描硬盤、收件箱及其他文件夾。
一旦加入,網絡釣魚攻擊者將開始數據提取流程。他們會抓取數據庫數據以獲取個人和財務數據,並將這些數據添加到電子表格中。他們對某些類型的數據特別感興趣,包括:
- 社保號
- 姓名全稱
- 通信地址
- 郵箱地址
- 信用卡號
- 密碼
一旦信息被抓取和保存,釣魚組織將執行計劃的最後一步。他們在黑市上出售這些信息,其他人會利用這些信息竊取身份,開立新的信用卡賬戶,或利用他人資料偽造全新的身份。出價高者將得到這些數據,然後釣魚組織瓜分利潤。在某些地方,某些人可能願意以1200美元的高價購買個人手機號碼和郵件地址。
網絡釣魚的可怕性不僅在於數據失竊,還在於攻擊易於發動。而且,任何企業、組織或政府機構都可能成為受害者。唯一的防護方法是要提高警惕並做好準備。
本文作者:綠盟科技
來源:51CTO
最後更新:2017-11-02 17:04:26