0
邮件密码安全是个老生常谈的问题了。
先来看看新鲜出炉的2017中国十大电子邮箱弱密码。
相信你可能在top10中看到了眼熟的密码,这里要特别说明的是,排行第3位的密码“Asdf123456”为键盘基准键“asdf”与“123456”的组合。而排名第10位的“!QAZ2wsx”,虽然看起来有大小写字母,有数字,还有特殊符号,但实际上却是一个键盘左边键的顺序排列。所以,特别提醒,只是简单使用键盘上相近的按键组合而成密码,实际上也大多是弱密码。
好吧好吧,这就回去改密码行了吧?
不行,这年头针对邮件的恶意攻击太多了,即使改了密码还是会被攻击者想方设法突突突。所谓知己知彼,想要保护自己先要了解对方的招式,垃圾邮件和钓鱼邮件早为大众熟悉,本文则要探究的是鱼叉攻击邮件。
鱼叉邮件是指攻击者针对特定目标投递特定主题及内容的欺诈电子邮件。相比于一般的钓鱼邮件,鱼叉邮件往往更具迷惑性,同时也往往具有更加隐秘的攻击目的。
对于鱼叉攻击邮件,为何用户容易中招呢?
360互联网安全中心的安全专家们分析发现,这些鱼叉攻击邮件在制作手法和攻击技术等方面通常并没有什么特别之处,也很少采用什么新型技术,但是,却普遍采用了社会工程学的伪装方法。攻击者会精心构造邮件主题、邮件内容及附带的文档名,使其极具欺骗性、迷惑性,导致很多用户中招。此外,部分用户安全意识只停留在可执行的恶意程序上,对邮件中附带的恶意文档防范意识较弱。
举例来说,2018年春节前后,一些重要的政府机构接连收到一些带有链接的鱼叉邮件,诱导用户点击邮件的链接,并下载打开带漏洞攻击代码的Office文档;一旦用户下载并打开文档,则会触发漏洞并继续下载执行远控木马,这些远控木马感染电脑后,会长期控制用户电脑。
搞事的幕后团伙是臭名昭著的摩诃草组织(APT-C-09),又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork,是一个来自于南亚地区的境外APT组织,该组织已持续活跃了8年。摩诃草组织最早由Norman安全公司于2013年曝光,该组织主要针对中国、巴基斯坦等亚洲地区和国家进行网络间谍活动。在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击。
与一般的鱼叉邮件将木马文件作为附件进行直接投递不同,在摩诃草组织的这一轮鱼叉攻击中,攻击者只是在邮件中放入了一个下载链接,诱导用户自己去下载漏洞利用文档,之后再通过漏洞利用文档,来下载远控木马。这种攻击方式使得一般邮件系统中的反病毒引擎完全无法监测到木马的投递过程。
下图为摩诃草组织鱼叉邮件内容截图,本就是我方在明敌方在暗,对方还这么会蹭新闻热点,不中招太难了(摊手)。
除此之外,针对特殊行业工业企业的带毒邮件附件陷阱也不少见。
用户收到的带毒邮件,其附件为针对性极强的诱饵文档,大多是与该公司的技术合作或商务合作相关的文档内容。
如下图带毒邮件附件样本。如果将其保存在电脑桌面上,表面上看起来就是一份名为“Technical Points for review.docx”的普通Word文档。但如果点击展开文件的文件名,就会发现,攻击者在文件名中插入了很多的空格,从而利用Windows的文件名显示规则,把真实的文件名后缀“.exe”隐藏了起来。
这个诱饵文档实际上并不是一个“纯粹的”Word文档,而是一个由rar生成的自解压程序。如果用户双击打开该诱饵文档,这个自解压程序就会调用rar程序对自己进行解压操作:它一方面会在c:\intel\logs目录下释放木马文件“mobisynce.exe”;另一方面则会在当前目录下,生成一个与自己同名的正常的.docx文件;然后再在偷偷运行木马文件的同时,打开解压出来的正常.docx文档,从而迷惑被攻击的受害者,使受害者以为自己只是打开了一个Word文档。
没想到吧,还有这种神操作。
在诱饵文档被打开后,可以看到,文档标题为“XX需要XXX公司确认的技术问题”,正文内容也全部都是与相关“技术问题”有关的内容。这样的邮件,其社工手法显然是经过非常精心设计和策划的,一般人很难识破。
这仅为个例,通过对2017年鱼叉攻击邮件抽样分析统计显示,以订单类为主题的鱼叉攻击邮件最多,占比高达39.8%,主题关键字涉及订单、RFQ(Request For Quotation)、采购单、PO(Purchase Order)等。排名第二的是支付类,占比为19.4%,涉及的主题主要有Payment、Invoice(发票)、Balance Payment Receipts。
除了以上两类,排名第三的是无主题,占比为14.7%。此类邮件缺少主题甚至正文,只携带恶意附件。之所以这些邮件不设置主题,主要原因有两方面:
1) 缩短鱼叉攻击邮件制作时间;
2) 为了方便群发邮件,由于攻击者想要攻击的人群多样,很难找到适合所有收件人的主题。
另外,抽样统计显示,企业最易成为攻击者通过鱼叉攻击邮件进行攻击的对象,占比高达61.5%,这里所说的企业主要包括互联网、IT信息技术、生活服务、批发零售等企业。
其次是金融机构占比较大,达到了14.7%,这里所说金融机构主要是指银行、证券公司、保险公司、信托公司,邮件内容及邮件携带的恶意附件通常是有关汇率及银行账单信息等。虽然攻击这类机构有较高的风险,但对这类机构的攻击可获取巨大的利益,因此对金融机构得攻击仍然占据着较大比例。
排名第三的是政府机构,达到了7.1%,邮件携带的漏洞文档一般是新闻稿、各国出台的新政策及向政府部门提出的建议等;其次是军事机构和科研教育机构,达到了5.2%和4.2%,这类攻击通常由具有政治背景的APT组织发起,攻击往往带有政治目的。
“其他”类别占据了7.3%,这部分邮件攻击目标涉及到普通个人、医疗卫生、协会团体等多个方面。
说完了攻击目标,再来看看受攻击地区。
从下图的鱼叉攻击邮件攻击目标可以看出,受攻击地区主要集中在亚洲、北美洲和欧洲,排名第一的是亚洲,占比为29.8%,其中主要包括中国、越南、菲律宾、韩国、日本、哈萨克斯坦、伊朗、巴勒斯坦等国。其次是北美洲,占比为23.1%,主要包括加拿大、美国、巴拿马等国。排名第三的是欧洲,占比也超过了20%,受攻击国家主要有俄罗斯、乌克兰、德国、荷兰、罗马尼亚等国。紧随其后的是大洋洲、非洲以及南美洲,占比分别为9.9%、8.7%、6.6%。
上图可见全球多个国家遭受到了鱼叉式网络攻击,这变相说明了此类攻击仍然是现今攻击者使用的一种主流攻击方式,很多攻击者通过社会工程学获取用户或机构的邮箱地址,然后伪装其相应的主题,携带恶意附件,进行攻击。
攻击者一般使用什么邮箱发件呢?
抽样统计显示,55.7%的发件人使用企业专用邮箱,如@tsl.com、@o2.pl、@ dhl.com、@ srwealth.biz、@web.de、@nesma.com等。这类邮箱分为两种情况:
1) 攻击者获取了某个企业员工的邮箱,通过该邮箱发送鱼叉攻击邮件给企业其他员工;
2) 攻击者直接伪造邮件发件人,以免被安全从业人员溯源。
从社会工程学上看,发件人邮箱为企业的邮箱,并配有相应的邮件内容,更容易取得用户的信任。
另外44.3%发件人使用的是个人邮箱,其中Gmail邮箱比例占据较大,达到了19.3%,另外,Outlook邮箱占据了7.2%,排名第三,这是由于很多用户为了方便,使用该类型邮箱与Office其他套件配合办公,在进行网络攻击时也采用了此类邮箱。最后mail.ru占据了4.4%,该类型邮箱主要在俄罗斯使用。
“其他”类别占据了13.4%,这部分主要包括yahoo邮箱、foxmail邮箱、163邮箱等。因此在这里提醒用户对于含有附件的未知电子邮箱,应特别小心,不要被好奇心驱动而打开附件。
本文为360威胁情报中心&论客投稿,雷锋网编辑。
获取报告原文关注雷锋网宅客频道(微信公众号:letshome),留言“电子邮件”获取下载链接。
雷锋网原创
雷峰网原创文章,未经授权禁止转载。详情见转载须知。