尼日利亞王子電郵一類的東西不值一提
今時(shí)今日的針對(duì)性網(wǎng)絡(luò)釣魚(yú)之復(fù)雜,甚至連最有經(jīng)驗(yàn)的安全專家也會(huì)上當(dāng)
網(wǎng)絡(luò)釣魚(yú)電子郵件幾十年以來(lái)一直是計(jì)算機(jī)世界的禍害,盡管我們做了最大的努力對(duì)其進(jìn)行打擊,努力卻沒(méi)有什么成效。我們大多數(shù)人一看電郵的主題就知道是釣魚(yú)電郵,會(huì)將其刪除,不會(huì)打開(kāi)它。有時(shí)候我們不能完全確定是不是釣魚(yú)電郵,打開(kāi)后也會(huì)即刻從內(nèi)容上知道發(fā)郵者是在釣魚(yú),這種郵件的特點(diǎn)是稱呼非常正式、外國(guó)血統(tǒng)、拼寫錯(cuò)誤以及非常賣力地想送給我們幾百萬(wàn)不勞而獲的美金或是向我們兜售疑點(diǎn)重重的產(chǎn)品。在大多數(shù)情況下,這種網(wǎng)絡(luò)釣魚(yú)之舉威脅頗小,我們用刪除鍵就解決了。
現(xiàn)在來(lái)看看針對(duì)性釣魚(yú)(Spearphishing):針對(duì)性的釣魚(yú)法行之有效,甚至可以對(duì)付最有經(jīng)驗(yàn)的安全專家。為什么呢?因?yàn)檫@些釣魚(yú)法是出自專業(yè)人士之手,他們似乎了解你的生意、你目前的項(xiàng)目、你的興趣等等。他們不會(huì)試圖向你推銷任何東西,或自稱可以送錢給別人。事實(shí)上,時(shí)下的針對(duì)性釣魚(yú)的目的往往要比簡(jiǎn)單的盜竊金錢險(xiǎn)惡得多。
下面我們就來(lái)看看當(dāng)今最先進(jìn)的針對(duì)性釣魚(yú)個(gè)各類招數(shù)——以及如何防止自己誤中他人的高招。
招招出自專業(yè)罪犯之手
傳統(tǒng)上,網(wǎng)絡(luò)釣魚(yú)郵件出自一些下三路的騙子,他們采取的辦法是廣撒網(wǎng):草草的一個(gè)信息,然后大肆發(fā)放垃圾郵件。總歸有人上當(dāng)。事實(shí)上,網(wǎng)絡(luò)釣魚(yú)的意圖越明顯越好,原因是這樣可以確保抓住的是最容易上當(dāng)?shù)暮康啊?/p>
一路走來(lái),套數(shù)變了。專業(yè)犯罪分子和有組織犯罪團(tuán)伙開(kāi)始意識(shí)到,發(fā)些更像樣的垃圾郵件可以撈到不少錢。布賴恩·克雷布斯(Brian Krebs)2015年的暢銷書《垃圾郵件國(guó)度》跟蹤了專業(yè)犯罪團(tuán)伙在俄羅斯的興起,這些團(tuán)伙每年進(jìn)賬數(shù)百萬(wàn)美元,支撐著多個(gè)大公司,其中一些公司披著合法的外衣,其股票可以在證券交易所買進(jìn)賣出。
一些主權(quán)國(guó)家也加入了這個(gè)游戲,他們意識(shí)到精心制作的電子郵件可以幫助他們繞過(guò)最堅(jiān)固的防御,要做的是瞄對(duì)員工。今天的絕大多數(shù)高級(jí)持續(xù)性威脅(APT)都是通過(guò)發(fā)幾封電子郵件到公司內(nèi)部的受害者而找到最初的落腳點(diǎn)。
現(xiàn)在的專業(yè)網(wǎng)絡(luò)犯罪分子每天朝9晚5上班、繳稅、周末和節(jié)假日不上班。他們工作的公司往往有幾十名到幾百名員工,公司會(huì)賄賂當(dāng)?shù)貓?zhí)法部門和政治家,公司也往往被視為其所在地區(qū)的首選雇主。這些公司為的就是攻入其他國(guó)家的企業(yè),在這種公司工作常常像戴著一枚愛(ài)國(guó)徽章一樣值得自豪。
這些專業(yè)黑客作坊雇了一隊(duì)隊(duì)的勞動(dòng)力。營(yíng)銷團(tuán)隊(duì)往往是由高管負(fù)責(zé),找愿意付錢攻取一個(gè)特定公司的信息的客戶,通常這些公司也會(huì)按要求攻擊任何一家公司,然后將所得信息作營(yíng)銷用。
而研究和監(jiān)測(cè)小組則負(fù)責(zé)收集有關(guān)目標(biāo)公司的組織結(jié)構(gòu)、業(yè)務(wù)合作伙伴、可從網(wǎng)絡(luò)訪問(wèn)的服務(wù)器、軟件版本和當(dāng)前項(xiàng)目的信息。他們通過(guò)訪問(wèn)目標(biāo)公司的公共網(wǎng)站以及闖入相關(guān)公司的一些保護(hù)較弱的商業(yè)合作伙伴獲得大部分的信息。
所獲取的信息會(huì)交給一個(gè)初步攻擊人員團(tuán)隊(duì),他們從目標(biāo)組織內(nèi)部建立錨點(diǎn)。該團(tuán)隊(duì)是專業(yè)黑客作坊里最重要的團(tuán)隊(duì),它又被分成幾個(gè)技術(shù)小組,每個(gè)小組重點(diǎn)負(fù)責(zé)一個(gè)特定的領(lǐng)域:攻入服務(wù)器、啟動(dòng)客戶端攻擊、進(jìn)行社會(huì)工程攻擊或展開(kāi)針對(duì)性釣魚(yú)。針對(duì)性釣魚(yú)小組與研究小組緊密配合,他們會(huì)和設(shè)計(jì)電子郵件模板的人員一起將各類相關(guān)的議題和項(xiàng)目混合起來(lái)。
另外還有其他團(tuán)隊(duì)。建立了初始入口后,后門團(tuán)隊(duì)接手,確保以后可以方便進(jìn)入,他們會(huì)植入木馬后門、創(chuàng)建新的用戶帳戶以及清理受感染的組織中所有的登錄資料。
還有,和所有上等的咨詢公司一樣,會(huì)有一個(gè)長(zhǎng)期團(tuán)隊(duì)專門負(fù)責(zé)該“客戶”。該團(tuán)隊(duì)的作用是四處尋找詳細(xì)介紹組織結(jié)構(gòu)和組織主要人士的重要信息。在很短時(shí)間內(nèi),他們就會(huì)知道公司建立的每一個(gè)防御體系以及如何繞過(guò)它。當(dāng)一個(gè)新的項(xiàng)目或大量數(shù)據(jù)上線時(shí),該團(tuán)隊(duì)就會(huì)第一時(shí)間知道。任何有潛在力的信息都會(huì)被復(fù)制保管起來(lái),以備在以后銷售時(shí)派上用場(chǎng)。
過(guò)去我們聽(tīng)說(shuō)的大凡是一個(gè)編程毛孩子在網(wǎng)吧草草地寫個(gè)電子郵件,現(xiàn)在不一樣了,這也就是為什么今天的釣魚(yú)攻擊效率要高得多?,F(xiàn)在這些事就是一份全職工作,要在面試過(guò)關(guān)斬將才會(huì)被雇傭,工資、福利和項(xiàng)目獎(jiǎng)金一應(yīng)俱全。甚至還要簽保密協(xié)議,也有HR麻煩和部門政治。
可別搞錯(cuò)了:釣魚(yú)郵件專業(yè)化了。
攻擊是熟人發(fā)送的
今天的針對(duì)性釣魚(yú)郵件往往來(lái)自一個(gè)熟人,你基本上每天都和Ta交換郵件,針對(duì)性釣魚(yú)郵件不是來(lái)自尼日利亞王子。這些郵件經(jīng)??瓷先ナ抢习濉F(tuán)隊(duì)負(fù)責(zé)人或其他管理層的權(quán)威人物發(fā)的,以確保受害者會(huì)打開(kāi)電子郵件,而且還可能會(huì)照郵件所說(shuō)的去做。
這些電子郵件也可能來(lái)自外面的、相似的電郵賬戶,目的是要和權(quán)威人士的個(gè)人電子郵件帳戶相似。誰(shuí)沒(méi)有收到過(guò)同事不小心用自己的個(gè)人賬戶發(fā)的與工作有關(guān)的電子郵件呢?我們都知道這種錯(cuò)誤時(shí)有發(fā)生。
這種電郵也可能來(lái)自與流行公共電子郵件服務(wù)器(Hotmail、Gmail等等)相似的賬戶,發(fā)送者自稱現(xiàn)在用這個(gè)以前沒(méi)用過(guò)的帳戶,因?yàn)樗麄兊墓ぷ麟娮余]件被鎖住沒(méi)法用了。還是那句話,誰(shuí)沒(méi)經(jīng)歷過(guò)這種事呢?
但最可能的是,假冒釣魚(yú)郵件看起來(lái)是來(lái)自其他人真正的工作電子郵件地址,有兩個(gè)可能的原因,一是因?yàn)榫W(wǎng)絡(luò)釣魚(yú)組織能夠從外部發(fā)送虛假的工作電子郵件地址,或是因?yàn)榫W(wǎng)絡(luò)釣魚(yú)組織已經(jīng)成功地攻破對(duì)方的電子郵件帳戶。后者已經(jīng)成了流行的攻擊方式,誰(shuí)會(huì)不去點(diǎn)擊老板發(fā)來(lái)的鏈接呢?
攻擊包括你正在做的一個(gè)項(xiàng)目
許多針對(duì)性釣魚(yú)受害者墜入陷阱是因?yàn)榘l(fā)送者似乎知道他們目前正在做什么項(xiàng)目。原因是這些發(fā)起針對(duì)性釣魚(yú)的人在這上面花過(guò)時(shí)間,或是他們已經(jīng)控制一個(gè)同事的電子郵件帳戶有一段時(shí)間了。電子郵件可能包括一個(gè)諸如“這是你正等著收取的某某項(xiàng)目的報(bào)告”或“這是我對(duì)你發(fā)來(lái)的報(bào)告的修改”的主題,電郵還有一份最初由接收方發(fā)送的附加副本,不過(guò)里面加了個(gè)新的、自動(dòng)運(yùn)行的惡意鏈接。主題也有可能會(huì)提到一個(gè)項(xiàng)目的可行性,諸如“你覺(jué)得這會(huì)影響到我們的項(xiàng)目?”的問(wèn)題或諸如“有人擊敗了我們!”的感嘆,郵件里則會(huì)有一個(gè)鏈接,指向似乎與項(xiàng)目相關(guān)的惡意新聞文章。
筆者見(jiàn)過(guò)聲稱是來(lái)自律師的郵件,說(shuō)是要求增加某個(gè)正在辦離婚的人的子女撫養(yǎng)費(fèi)。筆者也見(jiàn)過(guò)專業(yè)組織領(lǐng)導(dǎo)人發(fā)給全部組織成員的釣魚(yú)郵件。我也見(jiàn)過(guò)發(fā)給C級(jí)官員的電子郵件,聲稱手里擁有正在打官司的案件信息,電郵要求接收者運(yùn)行可執(zhí)行文件對(duì)附件里的保密PDF文件“解鎖”。我見(jiàn)過(guò)發(fā)給IT安全專家的虛假更新,聲稱電郵含來(lái)自供應(yīng)商提供的安全更新,是給他們最近購(gòu)買和安裝的一個(gè)產(chǎn)品用的。
電子郵件的主題和正文內(nèi)容現(xiàn)在已經(jīng)不是“看看這個(gè)!”一類的東西。現(xiàn)在不一樣了,針對(duì)性釣魚(yú)電子郵件來(lái)自你信任的、你正在做的一個(gè)項(xiàng)目里的人。閣下在讀了這么多以后,怕是巴不得收到的電郵是有關(guān)假的親人病危消息和偉哥廣告,收到此類電郵畢竟不是那么令人擔(dān)心。
你的攻擊者一直在監(jiān)視你公司的電子郵件
今時(shí)今日,公司攻擊者無(wú)時(shí)不在監(jiān)控著你公司的幾十個(gè)電子郵件帳戶。他們這樣做是為了獲取用來(lái)欺騙你同事的資料,并且獲取你的公司里最敏感和最有價(jià)值的信息。
如果你發(fā)現(xiàn)公司已經(jīng)被侵入,那就要假定所有C級(jí)員工和VIP電子郵件帳戶已經(jīng)被攻陷,而且要假定已經(jīng)有很長(zhǎng)一段時(shí)間是這樣了。甚至一開(kāi)始的發(fā)現(xiàn)壞蛋的報(bào)告都有可能被壞蛋讀到。他們知道你知道什么。
面對(duì)這種對(duì)手,唯一的解決方案是用一個(gè)完全“帶外”(Out of band)的網(wǎng)絡(luò),包括全新的電腦和新的電子郵件帳戶。用別的方法可能只是浪費(fèi)時(shí)間。
你的攻擊者可以攔截電郵并根據(jù)需要更改電郵
今天的對(duì)手不只是被動(dòng)地讀電郵。他們可以攔截電郵并且在有需要時(shí)修改電郵,盡管改得不多。批準(zhǔn)的決定可能會(huì)改成不批準(zhǔn);不批準(zhǔn)的決定可能改成批準(zhǔn)。有時(shí),重要的接收者會(huì)從電子郵件的接收者列表中被刪除。可能會(huì)加進(jìn)幾個(gè)接收者。電子郵件群可能被修改。加密和簽名可能被關(guān)閉。
在筆者讀到過(guò)的最糟糕的例子之一里出現(xiàn)如下情況,這個(gè)公司知道遭受嚴(yán)重APT破壞。為了重新收回網(wǎng)絡(luò),網(wǎng)絡(luò)管理發(fā)了一封電子郵件,要求所有收件人更改密碼。網(wǎng)絡(luò)管理當(dāng)然認(rèn)為,這樣做可以使惡意入侵者待不下去——只不過(guò)入侵者已經(jīng)控制了網(wǎng)絡(luò)管理的電子郵件帳戶。就在電子郵件被發(fā)出的那一刻,入侵者修改了嵌入的鏈接,修改密碼的人點(diǎn)擊鏈接后就會(huì)來(lái)到一個(gè)和公司修改密碼頁(yè)面一模一樣的網(wǎng)站,而這個(gè)網(wǎng)站是由入侵者的控制的。用戶遵從網(wǎng)管的指令,而這樣做以后卻使得入侵者能夠得到所有更改后的密碼。
攻擊者使用定制工具或內(nèi)置工具破壞殺毒軟件
數(shù)十年以來(lái),釣魚(yú)郵件的附件用的是一些日常惡意軟件工具。而今時(shí)今日,他們使用的是定制工具,特意為你打造并經(jīng)過(guò)加密,他們或是利用內(nèi)置在操作系統(tǒng)里的程序。結(jié)果是一樣的:反惡意軟件掃不到這些惡意文件或命令。而當(dāng)壞蛋們出現(xiàn)在你的網(wǎng)絡(luò)上時(shí),他們也小心地只運(yùn)行相同的東西。
一些用受害者的內(nèi)置腳本語(yǔ)言(PowerShell中、PHP等)寫的的惡意腳本正在迅速成為首選工具。PowerShell甚至還出現(xiàn)在一些惡意軟件工具包里,這些包最終可以制造出僅含PowerShell的惡意程序,網(wǎng)上可以找到這種例子。
另外,現(xiàn)在的反惡意軟件甚至刑偵調(diào)查都很難確定正當(dāng)?shù)墓ぞ呤遣皇怯米骱苄皭旱哪康?。這就使得上述的威脅火上加油。就拿遠(yuǎn)程桌面協(xié)議(RDP)連接做例子。幾乎每個(gè)系統(tǒng)管理員都用RDP。但當(dāng)壞人也用它時(shí),就可能很難確定什么時(shí)候的RDP連接是在干壞事。而且,要挫敗攻擊者就只能是移除好人也用的合法工具,而好人卻是靠這個(gè)工具來(lái)清理系統(tǒng)。
你的攻擊者在將你的數(shù)據(jù)搬回家時(shí)用的是軍用級(jí)加密
以前惡意軟件使用隨機(jī)選的端口來(lái)復(fù)制你網(wǎng)絡(luò)上的數(shù)據(jù),這種日子已經(jīng)一去不復(fù)返了。同樣,使用傳統(tǒng)保留端口(如irc端口6667)發(fā)送命令和遠(yuǎn)程控制惡意創(chuàng)作的日子也一去不復(fù)返了。
現(xiàn)在的惡意程序用的是SSL/TLS端口443,并使用業(yè)界公認(rèn)的、軍方認(rèn)可的AES加密。大多數(shù)公司都管不了443端口的流量,大部分甚至試都不試。各個(gè)公司越來(lái)越多地使用防火墻和其他網(wǎng)絡(luò)安全設(shè)備作為管理443端口的流量的方法,其做法是用自己的數(shù)字證書取代入侵者的443數(shù)字證書。但如果443流量中的數(shù)據(jù)使用AES加密過(guò)的,這樣做對(duì)刑偵調(diào)查沒(méi)有用。得到的都是些沒(méi)有意義、亂七八糟的東西。
惡意軟件編寫者使用的加密標(biāo)準(zhǔn)是一流的,連FBI也沒(méi)辦法,只能告訴勒索受害人還是交錢算了。事實(shí)上,如果發(fā)現(xiàn)有惡意程序在443以外的端口運(yùn)行而且沒(méi)有用AES加密掩蓋其蹤跡,那這個(gè)惡意程序可能是出自腳本毛孩子之手?;蛘呤?,該惡意程序已經(jīng)在你的環(huán)境待了很長(zhǎng)一段時(shí)間了,只不過(guò)你到現(xiàn)在才發(fā)現(xiàn)它。
你的攻擊者會(huì)隱藏自己的蹤跡
直到最近的幾年,大多數(shù)公司從不會(huì)費(fèi)心去啟用日志文件,或者即便啟用了也不會(huì)去收集可疑事件發(fā)出的警報(bào)。時(shí)代變了,現(xiàn)在的IT捍衛(wèi)者如果沒(méi)有啟用日志和每天檢查就將被視為失職。
對(duì)此,壞蛋們支出新招,轉(zhuǎn)用命令行和腳本命令等技術(shù),這些不太可能被記錄在事件日志里,他們或是在完事后會(huì)刪除日志。一些更高級(jí)的攻擊者則利用rootkit程序,這些程序?qū)Σ僮飨到y(tǒng)進(jìn)行惡意修改,以跳過(guò)自己的惡意工具實(shí)例的執(zhí)行。
你的攻擊者在你的環(huán)境中待了多年了
職業(yè)犯罪組織從開(kāi)始潛伏在受害者公司的網(wǎng)絡(luò)里到被發(fā)現(xiàn)的平均時(shí)間通常為幾個(gè)月到幾年。我經(jīng)常與一些公司合作,他們的網(wǎng)絡(luò)里居然潛伏了多個(gè)專業(yè)團(tuán)伙,有的在里面待了長(zhǎng)達(dá)八年之久。
名聲顯赫的Verizon數(shù)據(jù)泄露調(diào)查報(bào)告常常有報(bào)道,指大多數(shù)內(nèi)部泄露是從外部發(fā)現(xiàn)的。而在大多數(shù)情況下,之所以這樣是因?yàn)橥獠康倪@一家被攻陷多年后,在取證調(diào)查時(shí)會(huì)發(fā)現(xiàn)自己的數(shù)據(jù)或攻擊者是來(lái)自或被發(fā)往另一家作為一個(gè)中轉(zhuǎn)站的公司。
我給幾個(gè)客戶做過(guò)咨詢項(xiàng)目,壞蛋在公司待了超長(zhǎng)時(shí)間,以至于惡意軟件成了公司黃金映像的一部分,即是說(shuō),每一個(gè)新電腦都含惡意軟件。我見(jiàn)過(guò)木馬程序在一家公司流傳多年并被放行,原因是IT人員以為這個(gè)木馬程序是個(gè)必用的軟件組件,以為是同一組織內(nèi)的另一個(gè)組放置的。黑客大愛(ài)這一類的假設(shè)。
你的攻擊者不怕被逮住
曾幾何時(shí),網(wǎng)絡(luò)釣魚(yú)者進(jìn)入你的公司,竊取金錢或信息后就會(huì)盡快消失??爝M(jìn)快出,被逮住、被指證、被起訴的機(jī)會(huì)就小。
而今天的攻擊者可能身處國(guó)外,你的法律管不著,拘捕令沒(méi)有用。你甚至可以(通過(guò)法律證據(jù))在地方當(dāng)局指認(rèn)黑客公司、黑客和物理地址,但可能什么也不會(huì)發(fā)生。
過(guò)去10年里,有人在受到攻擊時(shí)常常請(qǐng)我去做補(bǔ)救,大多數(shù)情況下,黑客被發(fā)現(xiàn)后并不會(huì)跑掉。可以肯定,他們不想被發(fā)現(xiàn),但一旦被發(fā)現(xiàn)后,他們卻會(huì)更自由更大膽,好像限制被取消了一樣。
到最后,補(bǔ)救就是一個(gè)貓捉老鼠的游戲,老鼠卻占盡優(yōu)勢(shì)。第一,你并不知道他們攻陷了什么,也不知道他們有多少種方法可以再回來(lái)。而這些全都是因?yàn)槟橙舜蜷_(kāi)了一個(gè)針對(duì)性釣魚(yú)電子郵件。
你可以做什么
補(bǔ)救的第一步是要教育所有的員工,讓他們知道針對(duì)性釣魚(yú)攻擊的新現(xiàn)實(shí)。大家都知道舊式網(wǎng)絡(luò)釣魚(yú)電子郵件是什么樣子,錯(cuò)別字滿篇、可以輕易得到的幾百萬(wàn)美金的承諾等等,這些已無(wú)須太擔(dān)心的了。要向員工解釋新的針對(duì)性釣魚(yú)電子郵件,告訴他們針對(duì)性釣魚(yú)電子郵件是出自職業(yè)罪犯之手,告訴他們職業(yè)罪犯知道如何將電郵做得像是來(lái)自被同事信任的人。
應(yīng)該有人告訴員工,在點(diǎn)擊運(yùn)行程序或打開(kāi)不明文件時(shí)要先用別的方法(如電話或即時(shí)通訊)確認(rèn)。隨時(shí)確認(rèn)在今時(shí)今日要成為日常核實(shí)工作的一部分。要告訴員工隨時(shí)報(bào)告任何可疑的東西。如果他們不小心運(yùn)行了什么,而后來(lái)覺(jué)得值得懷疑就應(yīng)該及時(shí)報(bào)告。不要覺(jué)得被愚弄了是件丟人和尷尬的事,這一點(diǎn)很重要。要讓他們知道,由于攻擊太復(fù)雜,任何人今天都可能被騙,即便是安全專家也不例外。
許多公司會(huì)不斷用假冒的釣魚(yú)手法來(lái)測(cè)試他們的員工。這樣做時(shí)應(yīng)該使用復(fù)雜的網(wǎng)絡(luò)釣魚(yú)電子郵件模板,不要用類似以往的網(wǎng)絡(luò)釣魚(yú)做法。要持續(xù)地測(cè)試每個(gè)員工,直到很容易被騙的員工達(dá)到很低的比例。如果做法的當(dāng),這樣做可以使你的員工質(zhì)疑任何來(lái)歷不明的、要求輸入個(gè)人資料的電子郵件以及在執(zhí)行程序時(shí)更加小心。如果最后員工開(kāi)始質(zhì)疑你的合法郵件,這是個(gè)可喜的現(xiàn)象,說(shuō)明教育計(jì)劃成功了。
最后,如果針對(duì)性釣魚(yú)的做法不幸在你的公司得逞了,這時(shí)可以利用真實(shí)的網(wǎng)絡(luò)釣魚(yú)電子郵件以及被騙員工的現(xiàn)身說(shuō)法(如果他們非常受歡迎和值得信任),以針對(duì)今天的針對(duì)性釣魚(yú)環(huán)境對(duì)其他人進(jìn)行教育。這種發(fā)生在前線和中心的教訓(xùn)應(yīng)該受到歡迎。
預(yù)防的關(guān)鍵是要讓大家認(rèn)識(shí)到,今時(shí)今日的針對(duì)性釣魚(yú)電子郵件與過(guò)去的事不可同日而語(yǔ)。