随着我們邁入新的一年,2014年也已塵埃落定,讓我們從網絡釣魚的方面回顧一下2014年。如果你一直關注部落格,你會了解到我們一直在分析phishme員工接收的釣魚郵件。2014年,我們觀察到最有趣的網絡釣魚發展趨勢是什麼?雖然攻擊者不斷地使用新型惡意軟體來武裝釣魚郵件,但絕大多數釣魚郵件還是使用過時的重複的内容。
十大釣魚攻擊
基于這一趨勢,2014年最佳釣魚郵件的排名可能聽起來沒那麼吸引眼球,但它們使用重複的内容并不意味着我們沒有收到許多有趣的釣魚攻擊:
10.傳真通知釣魚:曆久彌新,屢試不爽
傳真機可能看起來像vh1電視台播放“我愛90年代”迷你劇中的東西一樣陳舊,但傳真通知卻一直是釣魚郵件中流行的主題。本文讨論的許多攻擊都使用傳真主題的釣魚郵件,最近我們接收多次以傳真為主題的發送更新版dyre木馬的釣魚攻擊,與一次以upatre惡意軟體為主角的攻擊。在upatre木馬下載下傳器的事例中,釣魚郵件的内容幾乎和普通efax釣魚的内容一樣,但是惡意軟體背後的技術手段卻是最前沿的。
9..net 按鍵記錄器:密碼一鍵記錄,忘記密碼請@我
該攻擊以一份普通的銀行業務主題的釣魚郵件為開始,其中郵件攜帶一個zip附件。這個惡意軟體被證明是一個.net鍵盤記錄器,它可以提取存儲在浏覽器與其他媒介中的密碼。相當要命喲!
8.律師消息:傳說中隔壁家的老王
早在2014年春天,我們接受一份自稱鄰居發送的釣魚郵件。而這位鄰居通過郵件發送一個zip檔案,聲稱檔案包含來自收件人律師的敏感資訊。為什麼你的鄰居會通過郵件向你發送來自律師的zip檔案?這是一個非常有用問題,也是一個值得深究的問題,因為這個zip檔案包含惡意的可執行程式。
7.勒索軟體釣魚:立交贖金,否則撕票
回到2014年5月,我們接收到一輪網絡釣魚,僞裝成mailer-eaemon郵件投遞失敗的通知,引誘收件人運作cryptolocker變種的安裝程式。幾周後,我接收到傳真主題的釣魚,它也會導緻收件人中招cryptolocker。通過檢查攻擊者的比特币錢包,我們發現他們收取的贖金超過13w美元(比去學校門口敲詐國小生靠譜多了)。
6.攜帶pdf漏洞利用的adp郵件:事關糊口,誰能不緊張
由于這些郵件讓攻擊者有種高高在上的感覺,并且可以激發收件人的各種情緒,如緊迫、恐懼及貪婪,工資主題的釣魚郵件就變得非常普遍。adp釣魚有什麼特别的地方嗎?那就是它攜帶了pdf漏洞利用,可以在pdf閱讀器插入shellcode。為了讓分析變得複雜,攻擊者使用多層zlib壓縮與難覓蹤迹的變量名。
科普:
adp是全球最大的業務處理及雲端解決方案提供商——服務涵蓋薪資處理、人才管理、人力資源管理、福利管理和考勤管理。
5. 稅務局資料錄入釣魚:吃到嘴裡的肉,甭想吐出來
冒充美國征稅機構是一個屢試不爽的政策。自2014年8份以來,此類型的釣魚郵件利用收件人獲得退稅的激動心情,連結到收件人為退稅填寫支付資訊的頁面,假設收件人會在釣魚頁面上輸入登入憑證。在對釣魚頁面執行開源情報分析後,我們發現相同文檔的使用可以追溯到2006年。
4. “榮耀歸于烏克蘭”釣魚:巧打政治同情牌
話說2014年7月,dyre新品種新鮮出爐,打包為宣稱含有螢幕保護程式的zip檔案。這款惡意軟體非常有意思,但是釣魚郵件?釣魚郵件是一個簡單傳真通知,被發送到phishme一個進階管理人員。
3.利用攻陷的edu域名傳播宙斯(zeus)病毒:請還學校一片淨土
2014年10底,我們接收到一份很普通的網絡釣魚郵件,包含着宣稱是支付消息的附件。這個附件實際上包含一種宙斯(zeus)病毒。為什麼它可以榜上有名?因為攻擊者從被攻陷的edu域名發送郵件。教育機構域名受人信任的特點與這些域名通常具有可觀的免費帶寬為攻擊者提供了非常有吸引力的惡意軟體傳播平台。
2.dropbox 釣魚:欲愛不能,欲罷難休
像dropbox的第三方雲服務提供商的崛起為攻擊者提供一種在網絡中傳播污穢消息的新穎的手段。在2014年6月份一大波作為dyre木馬先頭部隊的郵件中,我們接受到連結到dropbox上所謂的發票檔案。雖然dropbox連結本身是合法的,但它指向一個zip檔案,其中包含scr檔案,而不是發票。dropbox已經迅速禁止這類型的濫用,可事實證明,攻擊者有大把的方法來繞過垃圾郵件過濾器。dropbox的使用十分普遍,緻使大多數組織不能夠禁止dropbox連接配接。幾周後,我們在針對台灣政府的目标式攻擊看到了濫用的dropbox連接配接。
1. 攜帶dyre惡意軟體的郵件:平凡之中的不平凡
2014年最臭名昭彰的釣魚郵件咋一看似乎很無辜。實際上,我們接收到兩份包含未知惡意軟體的郵件,郵件中的連結指向到第三方檔案共享服務提供商cubby。郵件内容本身是平淡無奇的,其中一份郵件訓示收件人打開發票的連結,而另一份郵件内容更寬泛些,訓示收件人打開詳細了解有關納稅失敗的連結。這兩份郵件均指向當今臭名遠揚的惡意軟體dyre,一個針對銀行資訊和客戶資料的遠端通路木馬(rat)。dyre的危害影響廣泛,已引起美國計算機應急響應小組(us cert)的注意。
如果我們從2014年的網絡釣魚僅了解到一件事,那就是網絡釣魚攻擊者不斷重複(一點創新意識都沒,這年頭制作棉花糖的大爺都與時俱進了,附贈棉花糖一份,搶到沙發請與客服聯系)。這點有助于我們在未來防禦網絡釣魚。盡管安全行業一直側重于ip位址和惡意軟體,我們也應該關注政策、技術及協定。聚焦于郵件内容、頭部及url,提煉相應的模式,并采取預防性的措施,可以提供多一層的網絡釣魚的防護。
作者:rabbit_run
來源:51cto