几十年来,网络钓鱼邮件一直是计算机世界的祸害,甚至打败了我们最努力的打击它们。我们大多数人都能很容易地通过标题发现它们,甚至不打开就删除了。如果我们不完全确定,最终打开了它们,我们可以立即识别出网络钓鱼的企图,通过它过于正式的问候、外国来源、拼写错误,以及过度殷勤地向我们发送数百万不劳而获的美元或向我们出售可疑的产品。大多数情况下,网络钓鱼是我们用删除键解决的一个小威胁。
“鱼叉式钓鱼”(spearphishing)是一种有针对性的钓鱼方法,它被证明是非常有效的,即使是针对最老练的安全专家。为什么?因为它们是由深思熟虑的专业人士精心制作的,他们似乎了解你的业务,你当前的项目,你的兴趣。他们不会试图卖给你任何东西或声称自己有钱送人。事实上,如今的“鱼叉式钓鱼”的目的远比单纯的金融盗窃险恶。
下面让我们来看看是什么让当今最复杂的鱼叉捕鱼行为与众不同,以及如何避免沦为它们的猎物。
这次袭击是由职业罪犯精心策划的
传统上,网络钓鱼邮件是由低端的诈骗者创建的,他们选择了“霰弹”的方式:将草率的信息和垃圾邮件集合在一起。你一定会找到的。事实上,网络钓鱼的企图越明显越好,因为这将确保让最容易上当的人上当。
随着时间的推移,这种情况发生了变化。职业罪犯和有组织犯罪意识到通过发送更好的垃圾邮件可以赚很多钱。布莱恩·克雷布斯2015年畅销书《垃圾的国家追踪了俄罗斯职业犯罪团伙的崛起,他们每年赚取数千万美元,支持多家大公司,其中一些公司假装合法,在股票交易所进行交易。
然后,民族国家也加入了这场游戏,意识到少量精心设计的电子邮件可以帮助他们绕过最棘手的防御,只需锁定正确的员工。如今,绝大多数高级持续威胁(apt)通过发送几封电子邮件在受害公司内部获得了第一个立足点。
今天的专业网络罪犯每天工作朝九晚五,纳税,周末和假期都可以休息。他们为之工作的公司往往拥有数十至数百名员工,向当地执法部门和政界人士行贿,而且往往被视为当地的首选雇主。为进军其他国家的公司工作常常被自豪地视为爱国的象征。
这些专业的黑客工厂需要分工。营销团队通常由高管领导,他们寻找愿意花钱黑进某家公司获取信息的客户,尽管这些工厂通常会攻击任何一家公司,然后在事后推销这些信息。
研究和监视团队收集有关目标公司的组织结构、业务伙伴、可访问互联网的服务器、软件版本和当前项目的信息。他们通过访问目标公司的公共网站,侵入其保护力度较弱的商业合作伙伴,获取了大部分信息。
这项研究被传递给一个由最初的妥协者组成的团队,他们在目标组织内部建立锚。这个团队是工厂中最重要的团队,它被分解成几个有技能的子团队,每个子团队专注于一个特定的领域:闯入服务器、发起客户端攻击、执行社会工程攻击或鱼叉式钓鱼。“鱼叉钓鱼”团队与研究团队携手合作,将相关主题和项目与他们的样板邮件模板干部混合在一起。
还有其他的团队。后门团队在最初的进入是安全的,以帮助确保容易的未来进入插入后门木马程序,创建新的用户帐户,并清理每个登录凭证在被泄露的组织。
然后,像任何好的咨询公司一样,一个长期的团队致力于这个“客户”。这个团队寻找重要的信息,详细描述组织的结构和重要人物。在很短的时间内,他们就知道了公司的每一个防御系统以及如何绕过它。当一些新项目或大数据上线时,这个团队是第一批知道的。任何可能感兴趣的信息都会被复制以保存和将来出售。
如果这听起来有点不同于脚本小子在互联网café上匆匆拼凑一份草率的电子邮件,你就会知道为什么今天的网络钓鱼尝试要有效得多。这是一份通过面试获得的日常工作,有薪水、福利和项目奖金。甚至还伴随着保密协议、人事纠纷和部门政治。
毫无疑问:网络钓鱼邮件变得更专业了。
攻击是你认识的人派来的
今天的鱼叉式邮件通常来自于你每天与之有邮件往来的人,而不是尼日利亚王子。它们通常看起来是来自老板、团队领导或其他管理链上的权威人物,以确保受害者打开邮件,并更有可能按照邮件所说的去做。
电子邮件可能来自一个外部的、听起来很像的电子邮件帐户,意思是类似于权威人士的个人电子邮件帐户。毕竟,谁还没有收到过同事不小心使用个人账户发来的工作邮件呢?我们认为这是一个常见的错误。
它可能来自流行的公共电子邮件服务器(Hotmail、Gmail等)的一个听起来相似的帐户名,发件人声称使用这个以前未知的帐户,因为他们的工作电子邮件被锁定了。再说一遍,谁没经历过这种事?
但更有可能的是,虚假的网络钓鱼邮件似乎是从另一个人的真正的工作电子邮件地址到达的,要么是因为网络钓鱼组织能够从外部发送虚假的电子邮件初始地址,要么它已经成功地泄露了另一个人的电子邮件帐户。后者正成为最流行的攻击方法——谁不会点击老板发送的链接呢?
这种攻击包括你正在进行的一个项目
许多“鱼叉式”攻击的受害者都是这样一个事实:恶意发送者似乎知道他们在做什么项目。这是因为鱼叉爱好者已经花时间研究它们,或者已经控制了同事的电子邮件账户一段时间了。电子邮件可能会包括一个主题行,比如“这是你一直在等待的关于XYZ的报告,”或“这是我对你发送的报告的编辑,”以及一份由接收者最初发送的报告的附件,但带有更新后的自动启动恶意链接。它也可能暗指项目的可行性,问:“你认为这会影响我们的项目吗?”或者大叫“有人抢在我们前面了!”,并附上与该项目相关的恶意新闻文章链接。
我看到过一些声称来自律师的邮件,要求增加离婚人士的子女抚养费。我见过一些专业组织的领导向他们的会员名单发送钓鱼邮件。我看到过发给c级官员的邮件,声称有未决诉讼信息,要求收件人运行可执行文件,以“解锁”附件中的机密PDF文件。我看到过发给IT安全专业人士的虚假更新,声称包含来自供应商的安全更新,是关于他们最近购买和安装的一个产品。
邮件的主题和正文内容不是“看这个!”“通用的诡计。不,今天的钓鱼邮件来自于你正在做的项目中信任的人。当你读了这些文章后,你会开始希望我们所需要担心的只是假的垂死的亲人和伟哥广告。
您的攻击者一直在监视您公司的电子邮件
这些天,企业攻击者正在监视你公司的数十个电子邮件账户。这是他们获得必要的背景来愚弄你的同事,他们可以监控你公司最敏感和最有价值的信息。
如果你发现你的公司被入侵了,假设所有的高层员工和VIP的电子邮件账户都被入侵了,并且已经被入侵很长时间了。即使是坏人可能被发现的最初报告,也很可能就在他们眼前。他们知道你所知道的。
当面对这类对手时,唯一的解决方案是一个完全的“带外”网络,包括全新的计算机和新的电子邮件帐户。其他任何事情都可能是浪费时间。
攻击者可以根据需要拦截和更改电子邮件
今天的对手不仅仅是一个被动的读者。有需要时,他们会拦截和更改电子邮件,尽管只是轻微的更改。肯定的决定可能会变成否定的;No可能变成yes。有时关键收件人将从电子邮件收件人列表中删除。可能会增加更多的接收器。邮件组可能被修改。加密和签名可能被关闭。
在我读过的最臭名昭著的例子中,有一家公司知道自己被APT严重破坏了。为了挽回网络,服务台发送了一封电子邮件,要求每个收件人更改密码。当然,除了入侵者控制了帮助台的电子邮件帐户之外,这将使恶意入侵者更难以逗留。就在电子邮件发送之前,入侵者更改了嵌入的链接,从而将用户带到一个由入侵者控制的公司密码更改网站的完美副本。用户遵循帮助台的指示,但这样做允许入侵者捕获每一次密码更改。
攻击者使用自定义或内置工具来破坏杀毒软件
几十年来,钓鱼邮件使用日常的恶意软件工具作为附件。今天,他们使用定制工具,伪造和加密专门为你,或程序内置在你正在运行的操作系统。结果是一样的:您的反软件扫描程序不会拾取恶意文件或命令。当坏公司出现在你的网络上时,他们会小心地只运行同样的程序。
用受害者的内置脚本语言(PowerShell、PHP等)编写的恶意脚本正迅速成为首选工具。PowerShell甚至出现在恶意软件工具包中,这最终使PowerShell变成了恶意软件程序,这是显而易见的在这里和在这里和在这里.
反恶意软件,甚至是司法调查人员,都很难确定一个合法的工具是否被用于恶意目的,这一事实进一步助长了这一趋势。以RDP (Remote Desktop Protocol)连接为例。几乎每个管理员都使用它们。当坏人也这样做时,就很难确定RDP连接什么时候在做恶意的事情。不仅如此,在不移除好人清理系统所需的工具的情况下,移除合法的工具来挫败攻击者可能是困难的,甚至是不可能的。
你的攻击者用军用级别的加密技术把你的数据传输回家
恶意软件使用随机选择的端口从你的网络中复制数据的日子已经一去不复返了。使用普遍保留的端口(如IRC端口6667)发送命令和远程控制恶意创建的日子也一样。
现在每个恶意软件程序都使用SSL/TLS 443端口,使用业界公认的、军方认可的AES加密。大多数公司都很难看到端口443的流量,而且大多数公司甚至都不去尝试。越来越多的公司正在使用防火墙和其他网络安全设备,通过用自己的数字证书替换入侵者的443数字证书来查看443流量。但是当443流中的数据被AES进一步加密时,它对法医调查没有任何好处。这是令人费解的官样文章。
恶意软件作者使用标准加密是如此的好,甚至联邦调查局告诉勒索软件受害者只要付钱就行了.事实上,如果您发现一个恶意软件程序在任何端口上运行,但不使用AES加密来掩盖其踪迹,它可能是脚本kiddie。或者,它已经在您的环境中存在了很长时间,而您现在才发现它。
你的攻击者掩盖了他们的踪迹
直到过去几年,大多数公司都懒得启用日志文件,或者即使启用了,也不会收集日志文件并对可疑事件发出警报。但是时代已经改变了,现在IT捍卫者如果不定期启用和检查日志就会被认为是疏忽大意。
坏人通过使用命令行和脚本命令等技术做出了响应,这些技术不太可能被事件日志工具发现,或者他们只是在完成时删除日志。一些更复杂的攻击者使用rootkit程序,恶意修改操作系统,以跳过任何正在执行的恶意工具实例。
攻击者已经在您的环境中存在多年了
一个专业犯罪组织在被发现之前在受害者的公司停留的平均时间通常以月到年为单位计算。我经常与一些公司合作,他们的公司里有多个职业团伙,有些团伙已经在里面呆了长达八年之久。