冒充尼日利亚王子之类的伎俩早已过时——如今钓鱼欺诈活动已经成为极为复杂的业务体系,即使是最具经验的安全专家都有可能被其骗倒。
几十年来,网络钓鱼邮件已经成为计算机领域中的一大安全祸根,当然我们也使出了浑身解数、努力将其扼杀在摇篮当中。时至今日,大多数普通用户已经能够通过标题行意识到其邪恶本质,并在发现之后直接将其删除。而如果大家无法完全确定其性质并将其打开,那么其中过于正式的问候方式、诡异的国外发送地址、拼写错误、荒谬到无法形容的奖励内容描述乃至过于殷勤的产品推销言辞都能够让我们立刻发现其背后潜伏着的危险因素,而这次钓鱼活动也将在我们按下删除键的同时宣告破产。
然而更进一步来讲,无数真实案例已经证明,有针对性的钓鱼行为目前仍然相当有效,即使是最具经验的安全专家亦有可能被其骗倒。为什么会这样?因为这类钓鱼邮件由专业人士所精心设计,他们似乎了解目标受害者的业务内容、当前工作项目以及感兴趣的方向。他们不会用中奖通知或者奖品发放之类拙劣的手段达成目标。事实上,如今的网络钓鱼在效果设计上已经不再限于简单的经济诈骗。
在今天的文章中,我们将分步了解目前最为先进的网络钓鱼活动,并分析我们该如何避免坠入由其精心布置的陷阱。
攻击活动由专业犯罪分子精心布置
从传统角度讲,网络钓鱼邮件一般是由那些技术水平不高、寄希望于老套恶意手段的低端骗徒所制作:这类群体往往会随意接着出一封草率的邮件,其内容有时候甚至愚蠢到令人无法直视。但从实际层面来讲,这种钓鱼尝试也有自己的一套理论,毕竟只有那些会被这种低劣手段骗倒的对象,才有可能会在后续欺诈过程中遭受更加严重的损失。
不过网络钓鱼活动目前已经开始出现转变。相当一部分专业犯罪分子以及有组织的犯罪集团意识到发送高质量的钓鱼邮件能够获得相当可观的经济收益。由Brian Krebs撰写的2015年畅销书《垃圾王国》就追踪了来自俄罗斯的多个专业犯罪团伙的崛起之路,这帮家伙每年能够获得数千万美元收益,并受到多家大型企业的支持——其中部分企业甚至以合法的身份在证券交易所挂牌上市。
而接下来各国政府也开始参与其中,他们意识到只要能够瞄准合适的攻击对象,那么其经过精心伪装的邮件将能够帮助其轻松绕开固若金汤的安全防御体系。就目前而言,大部分高级持续性威胁(简称APT)都是通过发送电子邮件而在受害组织机构当中获得初步立足点的。
今天的专业互联网犯罪分子们也过着朝九晚五的正常生活,他们按时缴税并享受轻松的周末与法定节假日。他们所效力的企业通常拥有数十到数百名员工,向当地执法部门及政客行贿,并常常被视为所在地区的理想就业选项。而且在为这类公司工作时,攻击他国目标的行为往往被自豪地打上“爱国”的标签。
这些专业黑客们采用相当正规的工作方式。其拥有由领导层带队的市场营销渠道,旨在寻找那些愿意出钱窃取特定企业有价值信息的客户。当然,他们也会定期自主攻击任意受害企业,并将由此获取到的信息作为商品在市场上兜售。
而研究与监测小组则负责收集与目标公司相关的组织结构、业务伙伴、可访问服务器、软件版本以及当前项目等重要信息。通过访问目标企业的公众网站并着眼于其防御手段相对薄弱的合作伙伴,黑客们能够较为轻松地获取到上述筹备信息。
上述调查结果将被交付至初步攻击团队,并由后者在目标组织内部建立入侵着陆点。该团队正是整个犯罪体系当中最为重要的组成部分,其通常被划分为几个技术水平较高的分组,每个分组专注于突破特定领域:包括入侵服务器、发动客户端攻击、执行社交工程攻击或者实施网络钓鱼攻击。而网络钓鱼团队将与调查团队联手,通过配合制定与受害者当前项目及业务议题相关的电子邮件模板。
当然,还有其它一些团队与之进行配合。后门团队在初步入侵完成后跟进,旨在通过植入后门木马、创建新用户账户以及在受害组织内部收集登录凭据等方式确保自身继续保持对目标的后续入侵能力。
接下来,与任何一家出色的咨询服务公司一样,攻击方会派遣一支长期团队专门应对该“客户”。这支队伍驻扎在受害者内部获取重要信息以及与组织结构及VIP相关的细节内容。他们能够在很短时间内摸清目标企业的现有防御系统特性,并了解如何加以回避。当有新型项目或者大规模数据上线时,该团队会首先了解到相关情况。任何可能有价值的信息都会被复制下来并加以保管,这就做好了其今后进行批量销售的基础准备。
很明显,这一切都与以往那些由脚本小子们在网吧里弄出来的邋遢钓鱼邮件完全不同,正因为如此如今的钓鱼攻击更加富有成效。这些邮件的制造者拥有流水线级别的组织体系,而且他们也得通过面试,领取正规的薪酬、福利以及项目奖金。另外,恶意组织甚至还要求成员签订保密协议,并拥有专门的人力资源管理团队以及各部门间政治协调等机制。
所以千万不要掉以轻心:钓鱼邮件已然实现了专业化转型。
攻击可能源自我们认识的人
如今的网络钓鱼邮件往往是由那些我们平日里能够接触到的人们所发出,而非什么“尼日利亚王子”。具体来讲,钓鱼邮件发送者可能显示为我们的顶头上司、团队领导或者其他一些权威管理者,也只有这样恶意人士才能确保受害者打开电子邮件,并依照邮件中的具体内容行事。
这些邮件可能源自外部,并通过伪装让受害者误以为其来自某位企业高管的个人邮箱账户。毕竟我们每个人在日常工作当中,都或多或少收到过某位同事不小心使用自己个人邮箱账户发出的工作信件。所以在面对这种普遍存在的失误时,我们一般不会联想至其属于攻击活动的重要组成部分。
这类邮件可能会来自某个我们耳熟能详的主流公众邮件服务器(例如Hotmail或者Gmail等等),而发件人会自称其之所以使用这个此前未见的账户,是因为其暂时无法顺利登录自己的工作邮箱——同样的,我们也都遇到过这类状况,对吧?
不过在相当一部分情况之下,这些伪造的钓鱼邮件确实来自其他同事的真实工作邮箱地址——这可能是因为钓鱼攻击组织已经能够从外部成功伪造邮件的原始地址,也有可能是其已经顺利获取到了员工的个人邮箱账户。而后者是目前较为常见的一种攻击方式——毕竟咱们普通员工肯定会认真查看老板发来的邮件,而在点击鼠标的一刹那、大家已经中招了。
攻击中涉及我们当前正在进行的项目
很多网络钓鱼受害者之所以踏入陷阱,是因为攻击者似乎确切了解他们当前正在处理的工作内容。这是因为网络钓鱼者们已经用了很长时间来进行研究,或者已经控制了某些企业同事们的邮箱及邮件内容。总而言之,钓鱼邮件中可能包含“此为你一直在申请的XYZ报告”或者“我将你发来的报告进行了整理,结果如下”等极具误导性的标题,而邮件还有着发送者添加的报告副本链接——不过请当心,其已经被替换成了会自动执行的恶意链接。另外,钓鱼邮件中还可能探讨某个项目的可行性,例如提问“你认为这些因素是否会对我们的项目造成影响?”或者“其它企业已经抢先一步实现了同样的功能!”,而接下来仍然是被伪装成该项目相关报道文章的恶意链接。
我曾经发现过某些钓鱼邮件号称由律师发出,旨在征集个人意见以支持儿童在父母离婚案件当中的影响能力。我还见过一些钓鱼邮件发自某些专业机构的领导者,且直接面向其下属的团队成员。另外,还有一些由企业高管人士发出的钓鱼邮件宣称目前存在尚未解决的诉讼案件,要求接收者对对应的高度机密PDF文件进行“解锁”。除此之外,我甚至见过一些伪装成由安全专家发出的钓鱼邮件,其中指出邮件内包含的是接收者最近刚刚购买并安装的某款产品的最新安全更新,要求目标受众尽快进行查看。
这些钓鱼邮件的标题与主体内容已经不再是过去那种老套的“快来看!”。不,如今的钓鱼邮件往往来自我们认识的人且包含准确的生活及工作相关信息,而这一切都极大提高了其可信度。在了解到这一切后,我们真的希望能够回到过去——回到那个恶意邮件内充斥着亲属虚假身故消息与伟哥广告的时代。
攻击者已经在不断监视我们的企业邮件
最近一段时间,有组织的攻击者们开始对企业中的大量邮件账户进行持续监视。通过这种方式,他们得以获取到必要的背景信息,从而更加顺利地愚弄企业员工并了解到那些最敏感且最具价值信息的来源、传递方式及保存位置。
如果大家发现自己所在的企业已经遭到侵入,那么请首先假设所有高管成员以及VIP邮箱账户都已经被突破,且受到了长时间的监视。甚至针对恶意人士的初步检测报告也有可能已经被他们所发现——总而言之,假定他们已经掌握了我们所拥有的一切信息。
当面对这种对手时,惟一的解决方案就是建立起一套“彻底独立出去”的网络体系,其中包括全新计算机以及新的邮件账户。除此之外,任何抵抗工作都可能是在浪费时间。
攻击者能够根据需要拦截并篡改电子邮件内容
如今我们的对手已经不再只是被动的信息获取者。他们在必要情况下,甚至有能力拦截并篡改电子邮件的具体内容——虽然只能在一定程度进行篡改,但已经非常可怕。有时候他们能够将邮件中的肯定意见修改为否定,或者将否定意见修改为肯定。此外,他们能够添加更多收件人,对邮件分组进行调整,甚至关闭信息加密以及签名机制。
根据我的经历,最臭名昭著的实例之一就是某家公司已经意识到其受到高级持续性威胁的严重入侵。在某次尝试光复网络环境的行动当中,其帮助台发送了一封电子邮件,要求每位收件人对其密码内容进行修复。当然,这肯定会增加恶意入侵者的登录难度——除非其已经控制了帮助台自身的电子邮箱账户。在发送这封电子邮件之前,入侵者修改了其中的嵌入式链接,从而使其获取到了来自用户密码内容的副本——换言之,一轮密码变更导致公司上下的所有账户都被入侵者所掌控。是的,用户们积极遵循着“帮助”台的指引,但却反而让入侵者捕捉到了每条变更密码的具体内容。
攻击者利用定制化或者内置工具破坏杀毒软件
过去几十年来,钓鱼邮件一直利用常见的恶意工具作为辅助手段。然而如今恶意人士开始采用定制化工具来伪造并加密自己的邪恶意图,或者将程序内置在受害者所使用的操作系统当中。由此带来的结果非常明显:我们的反恶意扫描工具无法检测到这些恶意文件或者命令。而当犯罪团伙入侵到我们的网络内部之后,他们也会非常谨慎地利用同样的方式进一步完成渗透。
利用受害者内置脚本语言(例如PowerShell以及PHP等等)编写而成的恶意脚本已经快速成为攻击者们的首选方案之一。PowerShell甚至直接出现在了恶意软件工具包当中,这最终使得纯PowerShell型恶意程序成为可能。
而进一步助长这类趋势的现实情况在于,我们很难利用反恶意软件甚至是司法取证方式来检测某款合法工具是否被用于实现邪恶意图。举例来说,远程桌面协议(简称RDP)连接就是非常典型的代表。几乎每一位管理员都会使用这项协议,恶意人士也是同样。在这种情况下,我们将很难证实特定远程桌面协议连接到底是否在实施邪恶的勾当。不仅如此,我们也几乎没办法在不影响正常员工常用工具的前提下,通过移除合法工具来清理系统并挫败攻击者的阴谋。
攻击者通过军用级加密技术对受害者数据进行传输
利用随机选定的端口将数据从内部网络中复制出去的时代已经过去了。同样的,如今攻击者们也不再通过常见的保留端口(例如IRC端口6667)以远程方式进行命令发送与恶意控制创建。
如今利用SSL/TLS端口443作为恶意程序工作面已经成为业界共识,其同时还会配合军用级别的AES加密机制。大部分企业都很难对端口443流量进行追踪,其中相当比例甚至压根不会尝试。如今企业越来越多地利用防火墙以及其它网络安全设备对入侵者的443数字证书加以替换,从而实现443流量获取。不过当443流量中的数据经过了AES加密,那么取证工作将基本宣告失败。这虽然令人无奈,但却也是残酷的现实。
恶意软件编写者对于标准化加密机制的运用可谓炉火纯青,甚至连FBI方面都会直接建议勒索软件的受害者们直接付款来解决问题。事实上,如果大家发现某款恶意程序运行在非443端口之上且没有经过AES加密来掩盖其行踪,那么其始作俑者很可能只是一位技术水平低下的脚本小子。另外,即使我们找出了这类安全隐患,其恐怕也已经在大家的系统当中驻留了相当长的一段时间。
攻击者会努力掩盖自己的行踪
直到几年之前,大多数企业还完全不必对自己的日志文件太过重视,或者说即使进行处理,他们也不会进行刻意收集并对其中的可疑事件发出警告。不过时代已经不同,如今IT防御者们如果没能启用日志检查并将其纳入日常工作,那么将被视为一种严重的失职。
恶意人士能够利用各类技术,例如命令行与脚本命令,对日志记录加以应对,从而显著降低其被事件日志记录工具发现的可能性。其甚至有可能直接在肆虐之后将日志文件全部删除。一部分水平高超的攻击者还会利用工具包程序,从而通过对操作系统的恶意篡改来跳过包含其恶意工具执行痕迹的一切实例。
攻击者已经在我们的环境当中潜伏多年
专业犯罪团伙潜伏在受害者网络内部的平均时间——也就是从入侵成功到被发现的时长——通常为数个月甚至数年。我接触过的一些企业就面临着这样的状况,其内部环境已经遭到多个犯罪组织的侵入,而潜伏期最长的一个已经在这里游荡了八年。
根据权威性极高的《Verizon数据泄露调查报告》所言,大部分内部数据泄露事故都是由外部合作方首先发现的。在大多数情况下,这是因为外部合作方自身也已经遭到到多年入侵,而在其取证调查过程中发现其数据、攻击者位置或者中继点来源于另一家公司。
我曾经向多位客户提供过咨询服务,他们纷纷表示恶意人士已经在其网络内部肆虐多年,甚至恶意软件的植入已经成为该公司习以为常的状况——每一台新计算机在引入后都会瞬间染上恶意软件。我还见过一些木马以及恶意程序多年来一直随意传播,因为IT人员始终认为其属于组织内部某些部门的必要软件组件。好吧,这种愚蠢的假设肯定是黑客们的最爱。
攻击者根本不怕东窗事发
曾几何时,钓鱼攻击者会快速潜入我们的企业,窃取资金或者重要信息,而后立刻人间蒸发。快进、快出,尽可能缩短作案时间,这意味着其被捕获、识别以及起诉的可能性也会被降至最低。
如今的攻击者往往身处国外,在那里我们的法律管辖权以及定罪权全部无法生效。我们甚至可以利用法律证据来揪出黑客犯罪团伙、其中的成员乃至他们活动的物理位置——但也就这样了,我们的执法权对他们根本不起作用。
在过去十年我所经历过的大多数攻击活动当中,黑客们即使被发现了也不会挣扎逃脱。当然,他们会尽量避免自己被抓获,但一旦东窗事发,他们只会更公然、更嚣张地组织入侵——我们的现有制裁手段在他们面前真的非常无力。
时至今日,在这场猫鼠游戏当中,老鼠一方已经彻底了全部主动权。起初我们意识不到他们的侵入活动,也不清楚他们能够以多少种方式实现突破——毕竟安全事故的源头很可能只是某位员工不小心打开了恶意邮件。而最终,即使我们掌握了一切证据,仍有很大机率只能自认倒霉。
我们能够做些什么
防范工作需要先以培训起步,即教育员工关于网络钓鱼攻击的最新现实情况。相信每个人都已经了解到那种充斥着大量拼写错误以及不切实际的奖励承诺的老套钓鱼邮件,但现在这已经不再是我们的关注重点。我们要向员工解释新型钓鱼邮件的精妙之处,告诉他们专业犯罪团伙很清楚该如何调整自己的攻击手段,从而让恶意邮件看起来就像由同事等受信对象发来的合法信息一样。
接下来,员工应当意识到在其点击并运行邮件内可执行文件或者打开任何未知文档之前,必须首先进行单独确认(例如通过电话或者即时通信机制)。如今快速确认已经应该成为尽职性调查的必要组成部分。另外,提醒员工在发现任何可疑状况时及时汇报。如果他们不小心做出了任何事后看起来较为可疑的操作,那么也需要马上向技术部门发出通知。最重要的就是从心理层面消除员工在被愚弄之后产生的耻辱感与尴尬心态。要让他们知道,任何人——包括经验丰富的安全专家——都有可能被欺骗,这一切都要归结于当下极端复杂的攻击手段。
很多企业正在积极通过模拟网络钓鱼对员工的应对能力进行测试。不过需要提醒各位的是,这些测试应该尽量使用复杂度更高的邮件模板,而非过去那样拙劣不堪的老套路。另外,我们还需要对个别员工进行针对性测试,从而将易受愚弄的员工比例控制在较低水平。通过这种方式,员工将能够在面对任何要求其提供登录凭证或者程序执行权限时首先向技术部门询问。总而言之,让员工在面对合法邮件时也保持怀疑的态度将标志着我们的培训已经取得了喜人的进度。
最后,如果已经有网络钓鱼攻击在企业内部成功起效,那么请利用该钓鱼邮件以及受害员工的证词(如果他们值得信任且愿意作证的话)来帮助其他企业更深刻地理解当下的网络钓鱼环境。任何能够带来新启示以及新经验的经历都值得在各行业当中广泛共享。
总结起来,要想真正抵御住日益演进的入侵行为,我们必须让企业中的每位成员意识到如今的网络钓鱼邮件在表现形式上已经完全不同于以往。与时俱进、紧跟形势,这才是最理想的攻击应对之道。
原文发布时间为:2015-11-12
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。
