近期,CERNOC安全小組一位同僚在清理郵件垃圾箱時看到了一封釣魚郵件,立即對其進行了跟蹤與分析,發現其網站漏洞,并成功入侵背景資料庫。
釣魚郵件分析過程:
一封躺在垃圾箱的釣魚郵件
這是一封标題為“緊急:更新郵件配額”的電子郵件(如圖1所示),并引導使用者點選郵件中提供的連結,跳轉到 http://rnail.com.cn。該網站宣稱提供企業郵件更新服務,但實際是一個釣魚網站,旨在騙取使用者的個人賬号和密碼資訊。
圖1 釣魚郵件内容
該郵件使用[email protected]代發服務,并自定義了發件人資訊為“OA更新通知”([email protected]),其中“xxx.com”為收件人郵箱的域名。這種自定義方式極具迷惑性,容易讓人誤以為這封郵件來自本公司的郵件管理者。釣魚郵件通常以郵件系統更新為誘餌,誘導收件人打開特定網頁并填寫賬号密碼等敏感資訊。
轉到釣魚網站
點選OA更新頁面,轉到圖2所示的網站。
圖2 連結指向的更新備案網站
這封釣魚郵件中的連結指向一個看起來像更新備案的網站,但實際上卻是一個惡意網站,該頁面位址為http://rnail.com.cn。當使用者通路該頁面時,會被要求輸入目前郵箱賬戶名和密碼進行登記。一旦使用者點選“登入”按鈕,該網站就會彈出登記成功的資訊(如圖3所示),并跳轉到公司域名。然而,此時使用者所輸入的個人資訊已經被傳回對方伺服器并寫入資料庫中。
圖3 登記備案提示頁面
分析釣魚過程:
以上過程複現了釣魚郵件及網站的基本工作流程,接下來我們嘗試從已知資訊挖掘一些其他有價值的資料。首先,分析郵件頭資訊,查找釣魚郵件的來源(如圖4所示)。
圖4 郵件頭資訊分析
根據頭資訊,我們了解到郵件發送過程[email protected] -> hkmail.eastmoney.com -> 接收者郵件伺服器。根據IP查詢可知,最開始的發送位址來自泰國,但是域名jxlgewjv.hk沒有查詢到相關記錄,疑似已經關閉。
其次,檢視釣魚網站rnail.com.cn資訊,whois查詢到域名持有者姓名、郵箱資訊,注冊時間正是近幾天。根據反查資訊,發現該使用者同時注冊了很多相似的域名。其中,啟用的域名大多指向同一台伺服器位址134.122.191.149。經查詢,這是新加坡的伺服器位址。
掃描釣魚伺服器
使用工具對上述伺服器IP位址進行端口掃描,結果顯示,該位址開放了FTP、 MySQL以及多個Web端口:
嘗試FTP匿名登入失敗,MySQL端口做了位址限制,8888端口指向“/login”但是顯示“404 NOT Found”。
利用漏洞反入侵
接下來,我們把目标轉向釣魚網站首頁80端口。在分析過程中,我們發現該網站存在SQL注入漏洞,能夠擷取攻擊者背景資料庫内容。
由于輸入參數過濾不嚴格,表單中兩個參數都能作為注入點實施SQL注入攻擊:
嘗試通過SQL注入擷取背景shell,但是權限不夠,失敗。利用SQL注入列出攻擊者資料庫目錄:
資料庫mailmail表資訊:
資料庫表admin記錄了一個admin使用者以及密碼:
利用該資訊嘗試登入之前的FTP服務,登入失敗。
資料庫表yu中記錄了受害使用者輸入的資訊:
截至測試時間段,已有42名使用者受到影響,其中包括edu.cn、gov.cn等教育及政府使用者。由此可見,許多受害者輸入了真實的郵箱和密碼,導緻相關資訊被洩露。
釣魚攻擊威脅介紹
釣魚攻擊的概念
網絡釣魚是一種企圖竊取敏感資訊并加以利用或出售的行為,主要形式為僞裝成信譽良好的來源,通過誘人的要求等手段來欺騙使用者,竊取其使用者名、密碼、信用卡号、銀行賬戶資訊或其他重要資料。這種行為類似于漁夫使用誘餌來捕魚,是以被稱為“網絡釣魚”。
釣魚網站則是攻擊者所建立的虛假網站,旨在模仿已知的合法網站,進而欺騙使用者輸入敏感資訊。這些網站通常會使用與合法網站非常相似的域名和頁面設計,但實際上都是由攻擊者自己制作而成。需要注意的是,在網絡釣魚攻擊中,攻擊者往往會使用社交工程學等手段,通過破壞受害者的心理防線來達到詐騙的目的。
釣魚攻擊現狀
根據調查,近年來随着網際網路的快速發展,新的網絡攻擊形式——“網絡釣魚”呈現逐年上升的趨勢。卡巴斯基的一份報告顯示,2022年網絡釣魚攻擊數量翻了一番,達到5億多次。《IBM:X-Force威脅情報指數2022》指出,網絡釣魚成為2021年的首要感染媒介,超越了2020年領先的漏洞利用。據統計,在X-Force修複的事件中,網絡釣魚事件占到了41%。是以,如何及時高效地對網絡釣魚行為進行識别,成為亟待解決的安全問題。
網絡釣魚攻擊通常會建立一個與合法網站相似度很高的虛假網站,進而通過誘騙使用者通路虛假網站來竊取重要隐私資訊(如使用者姓名、電話、賬号和密碼等)。這将會造成嚴重的隐私洩露問題,進一步導緻使用者财産受到威脅。釣魚網站的欺騙性很強,使用者不細心、不謹慎就很容易上當受騙,而引導使用者進入釣魚網站的主要手段就是釣魚郵件。圖5是通過釣魚郵件進行網絡釣魚的全過程。
圖5 通過釣魚郵件進行網絡釣魚的全過程
釣魚攻擊的危害
釣魚郵件有兩種侵害方式:第一種是使用者沒有發現郵件中連結的假網銀或假網站,并輸入了個人賬戶和密碼等資訊,導緻資訊洩露造成經濟損失。攻擊者可能會在假網站上記錄使用者的鍵盤輸入,以後再利用這些資訊進行詐騙。第二種是使用者即便識破了假網銀或假網站,也可能被攻擊者的後招所傷。這是因為網站上可能攜帶惡意軟體或木馬,當使用者通路該網站時,其電腦可能會被感染。
郵件入侵風險也不能忽視,黑客通過上述方式擷取使用者的郵箱賬戶名和密碼,可以進一步擷取更多敏感資訊。在成功入侵使用者郵箱之後,黑客還可以修改密碼、删除重要郵件,損壞聯系人資料等。如果被盜取的郵箱屬于商業使用者,則可能造成更大經濟損失。更嚴重的是,國家公職人員,特别是敏感崗位從業人員在日常工作和生活中若不注意個人郵箱的安全問題,不小心點選了釣魚郵件中的相關連結,将可能給國家安全帶來極大危害。
釣魚攻擊實施步驟分析
釣魚郵件是一種利用人性弱點進行攻擊的手段,通常會使用易于接受的方式進行“釣魚”,其實施通常包括圖6所示的幾個步驟。其中,關鍵的一步就是“設計釣魚郵件的内容”。
圖6 釣魚郵件的實施過程
釣魚郵件在表面上看和正常郵件沒有太大差別,内容通常類似于正常業務往來的郵件。但這些郵件内容往往非常吸引人,具有真實感或誘惑力,容易引起使用者的重視。攻擊者通常會通過各種途徑獲得相關使用者資訊,并向這些使用者發送釣魚郵件。
如果使用者讀取郵件時沒有仔細檢查,可能會根據釣魚郵件提示填寫相關資訊進行回複,或點選連結登入釣魚網站,進而洩露個人重要資訊。
釣魚攻擊特征分析
釣魚郵件利用人性弱點進行攻擊,其實施過程和傳播方式具有一定規律。我們通過分析釣魚郵件的實施過程、傳播方式以及釣魚郵件相關執行個體,并結合垃圾郵件過濾器中垃圾郵件的特征進行分析,歸納出釣魚郵件具有6個主要特征:
一是郵件内容包含HTML語言描述;二是所有連結域名至少有一個與被保護清單中的對象相同;三是連結中含有引導點選的誘惑性關鍵字;四是郵件中多次出現的域名與連結登入的域名不一緻;五是郵件中登入連結的域名與發件人郵箱域名不一緻;六是發件人或收件人郵箱通常帶有admin或管理者等誘導字段。掌握了這6個特點,可以提高識别和篩選釣魚郵件的能力,降低資訊洩露的風險。
釣魚攻擊防範指南
通過以上執行個體分析不難發現,釣魚郵件具有極高的危害性,是以加強防範工作尤為重要。以下是針對釣魚郵件攻擊的一些防範建議:
第一,安裝防毒軟體,并定期更新病毒庫。開啟防毒軟體掃描郵件附件功能,并且定期下載下傳和安裝系統和軟體更新,以確定最新的安全更新檔已經安裝。
第二,不要輕易洩露郵箱密碼資訊,也不要将登入密碼寫在辦公桌或容易被發現的記事本上,并定期更換辦公郵箱密碼。
第三,将個人手機号碼與郵箱賬戶綁定,這樣可以友善找回密碼并接收“異地登入提醒”通知。
第四,不要使用工作郵箱注冊公共網站服務,也不要使用工作郵箱發送私人郵件。
第五,對于不再使用的重要郵件,請及時清空收件箱、發件箱和垃圾箱。備份重要檔案以防止檔案丢失,在發送重要郵件或附件時要加密,并在正文中避免附帶解密密碼。
第六,不要輕信顯示名。顯示名可以随意設定,使用者要注意檢視發件人的完整郵箱位址。
第七,不要随意點選陌生郵件中的連結。如果正文中包含連結,則應該小心處理,因為大量的釣魚郵件使用短連結或帶有連結的字詞來迷惑使用者。使用者如果收到類似于郵箱更新、郵箱停用的辦公資訊通知郵件,并且需要點選連結進行操作時,請務必仔細比對連結中的網址是否與機關網址一緻。如果不一緻,則很可能是一封釣魚郵件。
第八,即使是來自熟人的郵件也要保持警惕。攻擊者往往會利用已攻破的組織成員郵箱發送釣魚郵件。使用者如果收到來自朋友或同僚的郵件,并且懷疑郵件内容的真實性,請直接撥打電話向其核實。
第九,不要在公共場所使用網絡裝置進行敏感操作。請勿在公共電腦上登入電子郵箱、使用即時通訊軟體、網上銀行或執行任何涉及敏感資料的操作。在連入Wi-Fi後,請慎重考慮登入和收發郵件,因為免費的無線網絡可能因缺乏管理而被不良分子利用來竊取使用者資訊。
第十,不要在網際網路上釋出敏感資訊。使用者釋出到網際網路上的資訊和資料會被攻擊者收集,攻擊者可以通過分析這些資訊和資料,有針對性地向使用者發送釣魚郵件。是以,請注意保護個人隐私,避免将敏感資訊釋出到網際網路上。
如果不幸點開釣魚郵件并感染了病毒或惡意軟體,可以采取以下應急措施來降低釣魚攻擊帶來的危害:
第一,立即向郵箱管理者報告,讓專業的安全人員進一步處理,并開展系統清理和恢複工作。
第二,郵箱登入密碼可能已經洩露,使用者應該及時在其他機器上修改密碼,以防止攻擊者擷取郵件、聯系人等敏感資訊,并阻止黑客進一步的攻擊滲透。
第三,釣魚郵件中的連結或附件可能包含病毒、木馬或勒索程式。如果發現異常情況,請立即進行全盤掃描并使用多個防毒軟體進行交叉檢測。
第四,斷開受感染裝置的網絡連接配接(如拔掉網線或禁用網絡),以避免其他裝置被感染,同時控制安全事件的範圍,防止敏感檔案被竊取,減少安全事件帶來的損失。
當今社會,電子郵件在給人們的工作、生活等帶來巨大便利的同時,也帶來了許多安全風險。是以,我們需要采取積極有效的措施防止網絡釣魚攻擊。一方面,需要學習并掌握識别釣魚郵件的特征,以避免上當受騙;另一方面,還應跟蹤研究釣魚郵件的實施方法和相關特征,并提出自動篩選釣魚郵件的新規則和相關技術方法,以確定網絡使用者的安全。綜上所述,在使用電子郵件時,請注意保護個人隐私安全,以確定工作和生活順利進行。