APP下载

基于沙盒技术及社会工程学角度分析和防范钓鱼攻击的研究

2022-10-22谢其祥李莎

广东通信技术 2022年9期
关键词:沙盒附件网关

[谢其祥 李莎]

1 引言

习近平总书记在2018 年提出了“没有网络安全就是没有国家安全”的核心理念,将网络安全提升至国家战略层面。在数字化技术渗透到我们生活的方方面面的今天,在网上购物、在线支付、即时聊天、传送文件资料的时候,网络安全便已时刻保护着我们的个人及财产安全。网络安全已然成为我们工作、生活、学习离不开的话题。

“人”是网络安全最大的威胁,“人”的脆弱性漏洞是破坏性及影响力最大的漏洞,因此,网络钓鱼这一针对“人”的攻击至今仍愈演愈烈。但是在较多的网络安全报告中并未发现关于“人”这一方面的威胁分析和研究的防御措施,认为“人”不用防或难以防范而不作为。

网络钓鱼攻击是针对个人进行的利用人性弱点的入侵攻击,然而“人”却是网络安全体系中最脆弱的一环,网络安全建设应警惕“短板效应”,防范“黑天鹅”事件。

在零信任机制中,“一切输入都是不可信任的,一切都须验证”是零信任的核心。在“人”这方面的管控,也应参考零信任机制的理念,一切人员须纳入网络安全框架内进行验证并审计,加以技术控制以降低风险。

邮件安全厂商Mimecast 发布的《The State of Email Security 2022》报告中指出,“2021 年数据泄露事件飙升,网络钓鱼是最大的罪魁祸首,36%的数据泄露,至少部分原因是因为通过网络钓鱼窃取了员工的凭证,其中96%是通过电子邮件发生的。”“96%的公司已经成为邮件钓鱼攻击的目标”,如图1 所示,这说明了网络钓鱼攻击已然成为了成本低但收益高、回报率高的攻击手段,而且不易被追溯。网络钓鱼攻击利用“广撒网”的手段,屡屡得手,成为了目前急需防御的网络攻击之一。

图1 网络钓鱼事件统计

钓鱼攻击是针对人性缺点进行渗透突破的,人在未受到专业培训的情况下,容易受到自身的恐惧心理、服从心理、贪婪心理、好奇心理、同情心理等的驱使,点击或下载攻击者精心设计好的钓鱼“钩子”从而上当受骗,如钓鱼网站对个人凭证的窃取、钓鱼邮件的木马附件、钓鱼短信的木马下载链接以及钓鱼电话的人员操纵等。

在大多数的网络威胁和网络安全的解决方案中,都仅阐述了逻辑技术方面的研究,并未在如何预防内部人员被社会工程学攻击的方面作详细、长期且持久的研究和统计,在网络安全建设中,应警惕“短板效应”的发生。人是网络安全的建设者,也是摧毁网络安全措施的破坏者。如果攻击者利用钓鱼攻击,对内部人员进行社会工程学攻击,从而轻而易举地获得密钥、系统口令、内部敏感数据、商业机密等数据资产,那么攻击者便不会花费大量时间、人力和资金去突破组织精心部署的各种防火墙、IDS、IPS、数据防泄露系统等的纵深防御措施。

2 钓鱼攻击的场景及防御

2.1 钓鱼邮件

什么是钓鱼邮件?钓鱼邮件指精心设计的伪装特定人员或特定平台系统、携带病毒木马等恶意代码、发送给目标人员或人群的难以追溯的恶意邮件。

钓鱼邮件一般有如下特点:

(1)有压缩的附件。攻击者喜欢使用将特洛伊木马等恶意代码压缩成ZIP 格式,以躲避杀毒软件等匹配恶意特征码机制的查杀。而且附件解压后的文件格式是.com、.exe、.bat 等可执行文件格式。

(2)邮件内容所传达事情是时间紧迫、紧急或投人所好的,钓鱼邮件最经典的手段就是利用人的心理学特点。当一封邮件发送过来,写着①“您的企业邮箱133*****888 账号疑似被他人盗取,为了您的财产安全,请收到邮件5 分钟内下载附件并按要求操作,否则逾期自负!”是利用人的恐惧心理以及损失厌恶心理,是一种鱼叉式钓鱼(Spear Phishing),如图3 所示。②“根据《***通知》的规定,公司将对2021 年7 月前在职员工进行2021 年的绩效补贴发放,收到邮件后,请及时填写个人银行卡账号及手机号,并扫描二维码按操作提示,逾期不再受理,请知悉!”是利用了人的贪婪和对权威信任的心理,如图2 所示。

图2 钓鱼邮件的截图

(3)邮件头伪造利用,发件人伪装成真实的邮件域名,或者仅有细微差别。如要伪装@securecenter.cn,利用邮件头伪造的方式可造出@secureeenter.cn、@sccurecenter.cn、@securecenter.com、@secure-center.cn 等极为相似的域名来欺骗收件人的双眼。

怎么防御钓鱼邮件?

(1)在邮件网关入口部署邮件防毒系统。在邮件网关部署防毒系统旨在结合安全厂商已有的杀毒程序对邮件病毒进行拦截,对邮件不良敏感内容进行过滤,设定拦截及放行规则,通过安全验证后才转发到邮件服务器,保证用户的Email 安全。

(2)正确配置SMTP 邮件中继的身份验证机制。因为钓鱼邮件发送者并不想暴露其来源信息以免被追溯,所以钓鱼邮件发送者会寻找完全开放的邮件中继并转发钓鱼邮件。对邮件中继正确配置,在接收和转发前需对发件人进行身份验证。如果邮件中继默认设置为“完全开放”,则邮件服务器会接收任何邮件并发送给任意指定的接收者。

(3)使用SPF(Sender Policy Framework)技术配置电子邮件系统。SPF 通过对每封进入服务器的电子邮件进行验证,来防止钓鱼邮件伪造邮件地址。

(4)沙盒机制。在邮件网关接入邮件沙盒,邮件网关检测到有附件或链接时候,必须先将所有附件或链接剥离并发送到邮件沙盒,在沙盒的隔离环境下打开附件并运行或点击链接访问,对代码行为进行动态分析,辨别出恶意附件及恶意链接,并将结果返回给邮件网关。邮件网关必须等待沙盒的辨别信息后,才能对该邮件执行拦截或放行的操作。

(5)进行网络钓鱼攻击的专题培训和安全意识宣贯。对员工进行网络钓鱼的培训和提升员工的安全意识并达到预期效果,对于网络钓鱼攻击来说是致命的。因为网络钓鱼归根结底就是利用人性漏洞和社会工程学伎俩,譬如恐惧心理、服从心理、损失厌恶心理、贪婪心理等。简而言之,网络钓鱼就是利用人性漏洞驱使受害者按照攻击者意图进行一系列操作以达到攻击者预期目标的手段。即使无任何防钓鱼技术的防护,只要人不被钓鱼所欺骗,网络钓鱼也不过是饭后余谈而已。

2.2 钓鱼网站

钓鱼网站参照目标合法网站的外观,伪造成与其非常相似的精心设计的网站,并通过社会工程学伎俩诱导受害者访问该伪装网站。受害者在以假乱真的界面输入账号密码、银行账号等敏感信息后,个人财产安全甚至人身安全便已受到了威胁。钓鱼网站一般跟金钱利益、身份信息盗用有关,所以各大银行、银联、支付宝、微信、QQ、翼支付等的官网是钓鱼网站的目标所在。

钓鱼网站的攻击成本低,所获利润高,导致了钓鱼网站的投资回报率(Return On Investment,ROI)高。伪装金融网站的投资回报率高是钓鱼网站至今愈演愈烈的根本原因之一。

那么人们是怎么误入钓鱼网站的?主要有以下4 种方式:

(1)搜索引擎优化(Search Engine Optimization,SEO)技术:利用搜索引擎的排名规则,提高网站在有关搜索引擎内的自然排名。黑客为了提升钓鱼网站的点击率,使用SEO 技术这把双刃剑,将钓鱼网站推向人们的视野,用于钓鱼目的SEO 技术又称为黑客SEO 技术。当在搜索引擎的搜索结果列表同一页中同时出现了钓鱼网站和官方网站的时候,人们点击钓鱼网站并受骗的事件也就成为了一定概率的事件。

(2)超链接欺骗。“眼见不一定为真”,钓鱼网站利用了超链接“表里不一”的特点。因为超链接的元素与链接是分开的,给元素赋予的链接却可与元素无任何关联。譬如一个超链接的元素看起来非常正式正规、甚至与官方网站URL 一模一样,可是隐藏在元素底下的链接却极有可能是钓鱼网站或恶意网站的网址。钓鱼邮件内容附加的超链接极有可能是利用超链接欺骗技术,让受害者跳转至钓鱼网站。

(3)短网址隐藏。“猜猜我是谁”,黑客利用短网址平台将钓鱼网站地址转换成平台统一的、真假难分的短网址。当受害者收到指向钓鱼网站的短网址,再辅以社会工程学攻击,利用受害者的人性漏洞诱导其打开短链接。短网址是把双刃剑,短网址本是用于营销手段或用于规避博客、短信等平台对于字数的限制,现在被用于钓鱼诈骗攻击的诱导手段,短网址也被用于其他攻击的辅助手段,如跨站脚本XSS、跨站请求伪造CSRF 等网络攻击。

(4)DNS 欺骗。DNS 解析是将网站域名解析成IP地址的过程,DNS 欺骗是使用中间人(MitM)攻击的概念和DNS 解析的流程来破坏整个正常的DNS 解析过程。用户输入域名,计算机首先访问C:WindowsSystem32driversetc 目录下的hosts 文件,如果有静态映射解析,则不再向DNS 服务器发送域名解析请求。否则发送DNS 解析请求到DNS 服务器解析。因为DNS 服务器响应请求需要一定时间,这时候只要攻击者在DNS 服务器响应之前将伪造的DNS 响应发送回主机就可达到DNS 欺骗效果。所以DNS 欺骗使用的方法有:①病毒非法篡改hosts 文件。② 进行DNS 响应的劫持。③DNS 缓存毒化。

防御钓鱼网站方法如下:

(1)仔细核对网站域名,真实域名与钓鱼域名极可能仅有一符号之差。

(2)对于邮件中的超链接,使用鼠标“悬停”方式或选中超链接并复制链接地址来识别链接的真实URL,如图3 所示。

图3 鼠标“悬停”识别

(3)对于短信中的短网址或安全性未知的二维码,非必要不点击或扫描。

(4)验证网站是否有X.509 数字证书,如有则核实签发的CA 是否可信、数字证书是否处于过期注销状态。对于持非可信CA 签发的数字证书或无数字证书的网站,应进一步甄别其是否为钓鱼网站。

3 应用沙盒技术识别钓鱼邮件

3.1 沙盒技术实现钓鱼邮件自动识别的原理及构想

钓鱼邮件的危害在哪?是邮件的内容还是邮件的附件或链接?内容和附件都是攻击者精心设计的陷阱,邮件内容本身并无害处,只是利用了社会工程学的人性漏洞,让你坚信这是一封真实且紧迫紧急的邮件,从而下载附件并按指示运行附件或执行其他操作。

什么是沙盒?沙盒是一个与物理环境隔离的虚拟环境,用于运行未经测试的或信任程度未知的代码或链接,犹如虚拟机中运行病毒木马并溯源一样,在沙盒环境运行任何恶意代码均在可控范围内,不会污染其他内存或感染其他主机。

对比已有的网关防病毒系统,沙盒技术能分析恶意代码的种类更多,并不仅仅限于已知的病毒种类,还能发现0day 病毒、木马及其变种类型、逻辑炸弹等恶意代码和自动识别邮件携带的恶意链接,通过模仿人的操作结合恶意软件行为分析,发现恶意代码从而拦截钓鱼邮件。

对新出现的加密、加壳、变种病毒木马,网关防病毒系统可能因为特征码库没有及时更新导致无法通过特征指纹匹配识别0day 或1day 恶意代码,而且防病毒系统的特征库需要及时更新,否则形同虚设。沙盒技术站在更高的角度,在模拟人的操作层上打开并点击、运行邮件附件或恶意链接,纵使其千变万化,在沙盒运行的恶意代码动态行为将会彰显无遗,如图4 所示,恶意代码的破坏行为通常集中在这几种行为内,所以通过恶意行为分析即可研判其是否钓鱼邮件。

图4 病毒的破坏行为统计

钓鱼邮件的危害主要在于附件、链接背后隐藏的阴谋。只要在钓鱼邮件到达邮件网关后、人们收到邮件之前,通过沙盒技术运行邮件的附件并对其的动态行为进行分析,沙盒识别拦截系统将分析结果返回给邮件网关,邮件网关根据沙盒返回的检测分析结果对邮件放行或拦截丢弃。拦截疑似钓鱼邮件后,发送邮件被拦截的通知给用户,通过用户的反馈信息促进沙盒拦截系统降低其对钓鱼邮件的错误接受率FAR 及错误拒绝率FRR,如图5 所示,迭代优化。

图5 FAR 与FRR 的关系

3.2 应用沙盒自动识别拦截钓鱼邮件的方案

应用沙盒技术是为了弥补传统的钓鱼附件静态扫描分析的缺陷,在恶意代码的运行阶段对其动态行为进行监测和分析,能发现加密、加壳、变种的病毒木马、蠕虫、逻辑炸弹等恶意代码,对钓鱼邮件有效拦截。在沙盒中运行任意代码并不会对物理主机造成任何威胁。

如图6 和图8 所示,安全性未知的邮件到达邮件网关,先剥离邮件附件或链接,并将其发送至沙盒识别拦截系统,通过沙盒拦截系统对代码的行为监测和分析,将动态行为的分析和判断结果返回邮件网关,由其负责拦截或转发邮件。

图6 机制流程图

图7 功能架构图

图8 部署拓扑图

拦截钓鱼邮件后,应将拦截该邮件的通知告知收件人,由收件人将不正常的情况反馈给管理员,例如正常邮件被沙盒系统拦截或钓鱼邮件绕过沙盒拦截系统的实际情况。这种“反馈-调整”机制将促使沙盒拦截系统特对具体情况调整策略,降低沙盒拦截系统对钓鱼邮件的错误接受率FAR 和对正常邮件的错误拒绝率FRR。

如图7 的功能架构图所示,在恶意代码运行后,会发生一系列操作行为,如文件的增、删、改、替换,注册表的添加、修改和删除,还有更重要的是恶意代码的网络活动,木马在运行后需要反向连接外部地址,会开启动态端口与外部IP 建立连接等等。

这些恶意行为都可以使用各种类型的日志记录,在日志采集之后将各类日志发送到日志分析模块和恶意行为指纹库模块比对,结合动态行为分析模块和拦截过滤规则,分析和判断该邮件附件是否恶意代码,从而得出邮件是否钓鱼邮件的结论。

4 沙盒识别拦截钓鱼邮件方案的优势分析

相对于现有的钓鱼邮件病毒特征码静态扫描技术而言,基于沙盒技术识别并拦截钓鱼邮件的方案具有如下显著优点:

(1)检测范围更广。因为是基于代码运行所产生的行为检测的,不仅仅基于病毒,还可以检测木马、蠕虫、逻辑炸弹、细菌、间谍软件等等。因为沙盒识别拦截系统是通过采集恶意代码的动态行为,经过日志分析、行为分析并与恶意行为指纹库比对,这一系列的操作之后所下的结论结果来作为其是否钓鱼邮件的依据。所以不管恶意代码的形式是怎样的,只要它对系统、内存或网络进行有意破坏或执行其他恶意行为,那么基于动态行为分析的沙盒拦截分析系统就能对其进行监测和审计。

(2)恶意代码检测更精准。在目前用于扫描邮件附件的病毒扫描技术来看,一般都是基于扫描代码并匹配病毒特征库的特征码来判断是否病毒。这种病毒扫描技术有局限性,一是恶意代码特征库需要人员及时更新,维护成本高;二是病毒特征库容易被绕过,如恶意代码通过加密、加壳或变种来绕过病毒特征库。

正所谓“万变不离其宗”,不管恶意代码怎么变,始终都是以破坏环境、窃取敏感数据、隐藏身份、钱财诈骗勒索等等为目的,而沙盒拦截系统关注的是恶意代码的动态破坏行为而非代码特征本身,降低了由于恶意代码的形态千变万化而被绕过的安全风险。

(3)沙盒“试毒”不会对内网环境造成破坏。沙盒本身就是隔离的虚拟环境,与物理环境分隔,恶意代码对沙盒进行的肆意破坏一般不会对其他内存或主机造成任何影响。

(4)减少维护成本。病毒扫描所依赖的恶意代码特征库随着新病毒、新变种的增加而需要不停地更新病毒特征库,维护成本持续高昂。与病毒特征库不同的是,恶意代码的动态行为指纹库相对固定、稳定,如图4 所示,病毒的破坏行为主要集中在那几种破坏行为。因为恶意代码的破坏路径或其目的企图是较固定的、并不会多样化,所以对动态行为指纹库的维护成本比较病毒特征码库的维护成本明显降低了。

(5)由沙盒代替人来识别网络钓鱼,可降低钓鱼邮件给企业组织带来的风险。机器无情,钓鱼邮件所运用的人性漏洞及社会工程学伎俩无法对机器施展。加之运用沙盒监测恶意代码行为的方法,犹如上帝视角,黑暗一览无遗。

5 结论

本文从社会工程学、沙盒技术的角度,分析了网络钓鱼的场景,剖析其所利用的技术、人性漏洞和社会工程学伎俩,针对网络钓鱼的具体场景提出具体的防御方法。

针对一般的邮件附件扫描技术存在的不足,提出利用沙盒的隔离特点,使用沙盒先于用户运行邮件附件“试毒”的理念,通过监测代码运行后的动态行为,由行为现象判断附件是否恶意代码,从而识别并拦截钓鱼邮件。最后提出了结合沙盒技术识别拦截钓鱼邮件的理念及思路、技术架构及方案框架。

猜你喜欢

沙盒附件网关
不好惹的沙盒树
基于FPGA的工业TSN融合网关设计
一种主从冗余网关的故障模式分析与处理
金融创新产品—监管沙盒
用软件处理Windows沙盒配置文件
天地一体化网络地面软网关技术及其应用
车联网网关架构的设计
新型武器及附件展呈
德国军队使用的手枪套及其附件
点点鼠标,论坛附件一把抓