APP下载

钓鱼邮件攻击态势和技术发展*

2023-12-28陈远志陈飞跃

信息安全与通信保密 2023年10期
关键词:附件邮件钓鱼

陈远志,陈飞跃,郎 君

(1.公安部第三研究所,上海 200030;2.公安部网络安全保卫局,北京 100010)

0 引 言

随着互联网和信息技术的发展,电子邮件功能越发完善并快速普及,成为人们线上工作交流、数据传输和信息共享的重要介质。然而,自电子邮件问世以来,钓鱼邮件攻击因其成本低、影响范围广、诱导性强、攻击效果好等特点,迅速成为黑客组织和不法分子最为惯用的攻击手段,黑客利用社会工程学手法,大肆制造发送虚假仿冒邮件,窃取用户凭据、个人信息和商业机密等敏感数据,甚至直接实施攻击破坏和渗透窃密活动。据公开资料显示,全球每天约发生1.3 亿次钓鱼邮件攻击,影响范围波及约全球一半人口。

本文概述近年来我国境内遭受钓鱼邮件攻击的态势情况,梳理分析常见钓鱼邮件攻击方式和技术,研究ChatGPT 人工智能机器人、多片段程序编码混淆等新型技术对钓鱼邮件攻击的变革作用,并结合攻击方式和手段,就如何防范应对提出对策建议。文章第一部分介绍钓鱼邮件攻击基本概念和流行的主要原因,根据公开统计数据,分析当前我国境内遭受钓鱼邮件攻击的现状、态势和主要风险点,并阐述近年来钓鱼邮件攻击技术的发展和演变,同时针对钓鱼邮件附件中使用的恶意载荷攻击技术原理进行分析,最后就如何应对防范提出对策建议。

1 钓鱼邮件攻击

1.1 基本概念

所谓钓鱼邮件攻击,是指攻击者使用社会工程学手法伪装身份,向攻击目标发送具有诱骗性的电子邮件“诱饵”,利用人们的好奇、贪婪和猎奇等情绪和心理,通过诱导攻击目标降低戒备心、点击恶意链接或下载含毒文件等方式,实施窃取用户凭证信息、植入木马病毒、入侵控制服务器等攻击活动[1]。钓鱼邮件攻击属于极为常见的网络攻击方式。由于企业及其员工网络安全防护意识不足、钓鱼攻击技术隐蔽性提高等原因,普通人群在接收到一封自己感兴趣或关心话题的邮件时,难以第一时间发现和识别其是否具有风险和威胁。一般钓鱼邮件攻击流程如图1 所示。

图1 一般钓鱼邮件攻击流程

钓鱼邮件攻击之所以持续流行,是因为其成本极低且难以防范,区别于拒绝服务攻击(Distributed Denial of Service,DDoS)、木马远控、僵尸蠕虫等对服务器的网络攻击,钓鱼攻击直接以人作为攻击对象,利用“人性”的猎奇心理和防备松懈等实施欺诈、诱骗行为,无须大费周章地突破系统防火墙、入侵防御系统(Intrusion Prevention System,IPS)、入侵检测系统(Itrusion Detection System,IDS)等纵深防御措施[2],便可轻松获取账户信息或植入恶意程序。

1.2 我国钓鱼邮件攻击态势

1.2.1 钓鱼邮件攻击事件高发

近年来,我国遭遇境内外黑客和不法分子实施钓鱼邮件攻击事件呈高发态势。据奇安信披露,2022 年我国企业邮箱用户共收发各类电子邮件约7 660 亿封。其中,钓鱼邮件占比为5.6%,如图2 所示,数量相比2021 年保持持续上升趋势。除数量不断增长外,我国遭受钓鱼邮件攻击事件规模愈发庞大,仅2022 年上半年就发生十余起大型单位及职工遭受钓鱼邮件攻击事件。随着我国网络和信息化技术的深度普及,未来钓鱼邮件攻击事件恐将保持高发态势,企业和个人也将持续面临钓鱼攻击风险和威胁。

图2 近年我国企业收到钓鱼邮件数量趋势

1.2.2 重点领域企业为主要攻击对象

金融、教育、医疗、物流、能源等重点领域的大型企业在我国经济发展和社会运行中承担重要环节,其网络系统存放大量我境内用户、商业甚至国家机密数据,已成为境内外黑客组织和不法分子钓鱼邮件攻击的主要目标。如图3所示,2022 年我国遭钓鱼攻击的企业中,工业制造企业占比约24%,其次是交通运输业占比12%和教育培训业占比约10%。此外,互联网、IT信息、医疗卫生、金融以及批发零售等行业也遭受一定数量的钓鱼邮件攻击。其中,位于北京、上海和广东的企业遭攻击数量排名前三,由此可见,一线城市的大型企业更易成为钓鱼邮件攻击目标。

图3 2022 年我国遭钓鱼邮件攻击行业情况

1.2.3 关键基础设施安全面临严峻威胁

2021 年以来,“绿斑”“蔓灵花”等境外黑客组织长期针对我国政府部门、军事机构以及医疗、金融、教育、能源、电力等重要领域关键基础设施实施钓鱼邮件攻击,窃取我国国家安全关键部位网络系统的账户和密码,伺机入侵控制服务器,实施网络攻击和渗透窃密活动。2022 年下半年,境外“绿斑”“蔓灵花”等黑客组织向我国境内政府部门、军事机构发送钓鱼邮件,诱骗相关目标下载并运行远控木马程序,以窃取国家和政府机密,严重威胁我国网络安全。

1.3 常见钓鱼邮件攻击类型

在所有钓鱼邮件攻击中,最为古老的是广撒网式钓鱼,通过发送大量编撰好的虚假邮件或垃圾邮件,不定向随机攻击个人邮箱。此类钓鱼攻击没有具体目标,往往容易被用户识别和防范。近年来,广撒网式钓鱼逐步减少,针对特定目标的钓鱼邮件攻击则更为常见,主要有以下几种类型:

(1)鱼叉式钓鱼邮件攻击。与广撒网式钓鱼攻击不同,鱼叉式钓鱼攻击以某特定企业、组织及其员工为目标,通过发送定制化主题的邮件,诱骗其输入账户密码、点击恶意链接、下载带毒文件等,以获取重要数据资料[3]。

(2)鲸钓。攻击者锁定政府高官、企业高管、社会名人等具有较大影响力的人物,冒充其身份向员工或周边亲朋发送仿冒邮件,内容中通常还会催促收件人尽快提供重要文件或信息,此类钓鱼方式“胃口”更大、目标更广、收效更快,因而被形象地称为“鲸钓”。

(3)商业电子邮件欺诈。该类型与鲸钓性质较为相似,但并非直接以政府高官、企业高管等为目标,而是伪装成公司领导、用户同事、合作商等身份,吸引目标用户注意,利用其本能的职业顺从心理实施诱导、欺骗行为,进而窃取个人信息和资料文件等商业机密。

2 钓鱼邮件攻击技术发展

2.1 常规钓鱼邮件技术

2.1.1 仿冒伪造邮件

实现邮件发送功能使用的SMTP 协议存在安全漏洞,可随意修改定制邮件头参数,黑客利用该漏洞手动构造body(邮件正文)、header(邮件头)、from(发件人)、mail from(真实发件人)、to(收件人)等字段,利用telnet 等命令直接构造邮件发送指令,向中转服务器发送虚假伪造邮件。此外,为提升伪造真实性,不少攻击者通过搭建私人服务器或私有云等方式,远程部署电子邮件服务和相关协议,伪装成管理员、领导的姓名、邮箱等,向目标发送钓鱼电子邮件,诱骗窃取凭据信息。基于电子邮件传输协议(Simple Mail Transfer Protocol,SMTP) 制造伪造虚假邮件如图4 所示。

图4 基于SMTP 协议制造伪造虚假邮件

2.1.2 恶意链接邮件

攻击者以目标关心或感兴趣的内容为主题等构造虚假邮件,如《某网络系统重要升级通知》《某重要会议邀请函》《某考试要求通知》等,在正文中附带一条指向恶意内容的链接,用户点击后将跳转至仿冒虚假网站、水坑攻击页面等有害网站。带恶意链接的钓鱼邮件如图5 所示,黑客伪装成顺丰快递人员向目标发送钓鱼邮件,以“更新地址”为主题诱导收件人点击链接,该链接指向另一个用于收集信息的仿冒网站。

图5 带恶意链接的钓鱼邮件

2.1.3 含毒附件邮件

通常来说,用户因好奇、猎奇等心理会习惯性下载邮件附件,攻击者利用用户此习惯在发送的仿冒邮件中携带包含恶意宏的Office 文档、可执行程序(EXE、SCR、VBS)、快捷方式文件(LNK)和压缩包(ZIP)等附件[4]。通常,Office 启用宏快捷方式文件会调用Powershell 脚本执行恶意脚本命令,可执行文件在执行后将远程下载各种注入病毒、蠕虫、木马后门等,而压缩包文件内则直接携带某恶意木马,上述病毒往往种类繁多、变体复杂,能够对目标网络系统实施破坏性攻击[5]。常见附件病毒类型如图6 所示。

图6 常见附件病毒类型

2.2 新型钓鱼邮件技术

伴随着信息技术和人工智能技术的发展,用于进行钓鱼邮件攻击的辅助工具、附件恶意载荷以及防御逃避技术也持续革新。

2.2.1 生成式AI 辅助鱼叉钓鱼攻击技术

2022 年以来,以ChatGPT 为代表的生成式人工智能(Artificial Intelligence,AI)技术掀起了全球人工智能热潮,其高度智能化的特性在带来便利的同时,也为黑客制作网络武器化的钓鱼邮件攻击提供了“捷径”。生成式AI 机器人可根据用户需求快速创建完整的钓鱼邮件感染链,向特定目标实施鱼叉钓鱼攻击,相比于传统钓鱼邮件攻击方式,具有以下特点:

(1)技术门槛更低。研究发现,使用生成式AI 机器人辅助制作钓鱼邮件几乎不需要任何技术储备,仅需简单文字描述便可生成武器化的钓鱼邮件,极大降低了黑客实施攻击的成本。使用生成式AI 机制人辅助制作高仿真钓鱼邮件的步骤如图7 所示。

图7 生成式AI 制作钓鱼邮件的步骤

一是用户向ChatGPT 程序提供一段描述具体邮件需求的文字,包括主题、收件人、内容以及其他具体要求。二是ChatGPT 将根据需求模拟各种社会环境,快速生成一封语法合理、逻辑通顺、文字精练、格式规范的高仿真钓鱼邮件。三是生成式AI 技术还可根据用户需求自动生成具有恶意功能的代码,黑客可利用“一站式”轻松实现“钓鱼邮件+恶意附件”结合的攻击方式。

如图8 所示,使用ChatGPT 自动创建的钓鱼邮件内容包括目标姓名、邮件主题、主要诉求、第三方链接(恶意)、落款等高度仿真信息,极具欺骗性和迷惑性。

图8 使用ChatGPT 自动创建钓鱼邮件

(2)欺骗性和迷惑性更强。攻击者可以向生成式AI机器人描述更多有关攻击目标的社会身份、性格爱好、工作环境等详细背景信息,通过AI 高度智能化的学习训练模型,可使用特定的写作习惯,针对特定目标,产出特定主题的鱼叉式钓鱼邮件,相比于传统钓鱼邮件更加难以分辨真伪。

(3)回报比更高。根据相关研究发现,广撒网、电子邮件欺诈以及鱼叉式钓鱼邮件攻击等传统攻击方式往往会耗费黑客大量精力去设计、制作、投递钓鱼邮件,采用此类通用欺骗手法仿制的邮件往往容易被识破,而针对特定目标精心设计的钓鱼邮件、定制化的恶意诱饵又耗费较多时间和技术成本。生成式AI 技术基于庞大的深度学习神经网络,可模拟社会工程学手法,快速制作出高逼真度的钓鱼邮件,相比传统手段,回报比更高。

2.2.2 多种新型附件恶意载荷技术

钓鱼邮件攻击本质上是利用社会工程学理论和方法,抓住“人性弱点”来绕过计算机主动安全和防御机制,最初目标仅是窃取登录凭证或数据。随着黑客技术演进发展,攻击者开始将钓鱼邮件攻击作为一种投递恶意载荷的方式,利用附件夹带勒索软件、僵尸蠕虫、木马病毒等恶意程序,以实施渗透攻击。此类新型攻击思路迅速成为当下最为流行的钓鱼邮件攻击方式,也催生出多种附件恶意载荷攻击技术,极大程度提升了钓鱼邮件攻击的威胁性和破坏力。

(1)Office 文件启用宏。攻击者利用热点新闻、舆情和事件内容为标题创建word、excel、ppt 以及pdf 等Office 文档,在其中设置恶意宏代码,将其设置为受保护文档、模糊文档或在其中插入模糊图片,提示用户需要启用宏才可进一步查看使用,以此诱导用户开启宏,进而提取、释放和自动执行恶意程序,整个过程用户几乎没有任何感知。

(2)可执行文件攻击。黑客将exe、scr 等可执行文件作为邮件附件,用户下载后文件自动运行,并与远控服务器建立连接,执行进程驻留、病毒下载、数据窃取等恶意行为。此外,为进一步提升此类可执行程序的执行率,部分黑客将木马病毒、可执行程序等压缩打包,利用WinRAR 功能将压缩包设为自解压文件,并预留一段自解压后的默认执行命令。用户下载该文件后,压缩包将自动解压并执行包内的恶意程序和指令,此类指令一般是启用PowerShell,执行权限提升、系统控制等非法入侵行为。

(3)帮助文件(Compiled HTML Help,CHM)捆绑木马。CHM 格式文件是Windows 帮助文件,此文件可以被植入恶意脚本,因其方便、快捷、成本低的特点成为黑客组织常用的钓鱼邮件攻击附件载荷,但其缺点是打开时会出现弹黑框、卡顿等现象,容易引起目标警觉。

(4)快捷方式文件(Link File,LNK)欺骗。LNK快捷方式是指向其他文件的一种格式文件,其属性中有target 目标路径,用户双击执行该文件时会自动执行目标路径的程序。黑客利用此特性,在target 中嵌入恶意脚本指令,并伪造LNK文件图标,提高欺骗性以迷惑和引导用户运行。

(5)附件伪装。一些黑客组织在邮件附件中利用附件伪装技术,将容易引起用户警惕和防范的非常规文件伪装成不易被察觉的文件,以迷惑和欺骗用户。例如,将恶意程序图标替换为常用软件图标、伪装成正常格式文档、文件名添加长空格以隐藏格式后缀、文件名反转等。此外,在境外黑客组织“海莲花”攻击样本中,还发现利用图片隐写技术隐藏后门程序的攻击手法。

(6)动态链接库(Dynamic Link Library,DLL)劫持攻击。DLL 劫持攻击技术作为常用网络攻击手段也被用于钓鱼邮件攻击中,黑客将Windows 系统或QQ、360 等常用应用程序软件的可信DLL 文件替换为同名的恶意DLL 文件,以绕过系统安全软件的主动防御机制,实现应用层面的白加黑攻击。目前,动态链接库劫持攻击技术已被黑客组织广泛用于权限维持和安全软件免杀,成为最为隐蔽和效果最好的恶意载荷之一。

2.2.3 多片段程序编码混淆检测逃避技术

当前,由于企业和个人邮箱安全机制的不断优化,安全厂商研发的各类邮件附件安全检测产品的逐步普及,使得黑客为逃避此类产品的检测开始针对性地研发各类新型隐匿逃避技术,出现了一种通过摩斯电码、美国信息交换标准代码(American Standard Code for Information Interchange,ASCII)等多种编码进行程序分段混淆加密的免杀逃避技术。其技术过程如下:

(1)恶意程序分段混淆。采用“分段+编码+混淆”的技术思路。首先,将设计好的恶意程序或脚本依据不同阶段、不同功能拆分成多个代码片段,每个片段本身看上去没有任何恶意功能或行为。其次,利用摩斯电码、ASCII、Escape、Unicode、Base64 等多种编码方式对每个片段进行单独编码和加密。

(2)多种编码组合逃避检测。针对每个程序片段或恶意链接的编码方式并非单一不变的,可能使用2 ~3 种编码的组合,并周期性、随机性地变更编码类型,这使得普通的安全监测软件无法提取其规则,难以有效防范。此外,针对网络钓鱼工具、虚假链接等较为敏感的代码片段,利用多重链接机制(如JavaScript 脚本)等进行替换,再将该脚本托管在第三方网站中,以提升隐蔽性。

(3)组合片段实现恶意功能。每个编码后的代码或链接本身不具备任何恶意功能,但当这些代码片段解码、解密、重新组合后,便逐步显现出某种特定恶意用途。

使用多片段程序混淆技术实施钓鱼攻击的技术分解案例如图9 所示。

图9 多片段程序编码混淆技术

攻击者向目标发送一份携带超文本标记语言(Hyper Text Markup Language,HTML)代码文件的钓鱼邮件,该HTML 代码被拆解为多个带有JavaScript 代码的片段,片段1 包含攻击目标的基本信息,片段2 为一个编码后的JavaScript 脚本,运行后将加载模糊背景文档,片段3 为另一个编码后的脚本,加载后执行跳转仿冒网页、诱导用户输入密码等不同功能。系列步骤完成后显示出该HTML 附件文档的真实恶意用途。

3 防范对策建议

钓鱼邮件攻击技术虽然在持续更新,但应认识到其本质都是通过社会工程学手法,利用人们的好奇心、猎奇心以达到欺骗目的,因此应该以预防为基础,配合反钓鱼邮件工具,辅以安全监测产品开展防范保护。

3.1 强化钓鱼攻击防范意识

无论钓鱼邮件技术有多高超,隐蔽性有多强,只要用户不打开、不点击,攻击者就无法达到攻击目的,因此强化安全防范意识是防范钓鱼邮件攻击的首要环节和重中之重。企业应落实好网络安全和数据安全防护主体责任,定期对员工开展安全培训,宣传钓鱼邮件防范内容,提高企业和员工整体安全防护意识,降低遭受大规模钓鱼邮件攻击的风险。加强数据安全保护,妥善管理保存在个人邮箱内的数据,及时隔离存储重要文件、删除失效文件。保管好邮箱登录凭证,不在任何互联网网站上随意输入账户密码,不轻易发布任何敏感信息。如遭遇钓鱼攻击,用户应第一时间隔离断网,并将相关情况汇总上报给企业管理者或相关安全部门,尽可能降低影响,减少次生危害[6]。

3.2 加强钓鱼邮件内容甄别

针对邮件内容,应学习借鉴“零信任”思想,对每一封收到的邮件仔细检查,识别检查发件人身份信息、邮件内容、附件等,确认发件人名称、邮箱等是否存在仿冒痕迹,如用“r+n”的字母组合代替“m”以欺骗用户等。注意检查邮件标题和正文的用词用语,对“务必尽快回复”“通知”“日程”等字眼以及附带链接需格外保持警惕并反复确认后再进行后续操作。尤其是针对生成式AI 制作钓鱼邮件方式,应格外提高警惕,利用线下确认和电话查证方式,反复核对、确认无风险后再对邮件进行查看、点击、下载及其他操作。此外,应谨慎查看邮件附件的名称、格式、类型等信息,确认其是否存在篡改后缀、携带木马等隐患[6]。

3.3 安装附件安全检测工具

针对邮件附件,应视情安装使用国内安全厂商研发的主流威胁检测工具和杀毒软件。目前,Chrome、火狐等主流浏览器均带有反钓鱼工具栏,能够对不慎打开钓鱼链接的行为进行隔离阻断,还能够自动检测下载的附件是否具有木马风险等。此外,国内多家安全厂商的反钓鱼邮件工具能够基于威胁情报库、恶意链接检测、云沙箱技术、行为分析模型等手段对邮件附件进行病毒扫描和恶意判定等,具备及时发现、警告、清除带毒附件恶意程序的能力,能够有效帮助用户防范钓鱼邮件攻击,强化邮箱安全防御屏障。

4 结 语

本文立足于钓鱼邮件攻击防护,介绍钓鱼邮件攻击的基础概念、攻击类型、社会工程学手法,分析我国内遭受钓鱼攻击现状、特点和面临的威胁。结合实例,深入剖析不同钓鱼邮件攻击的技术类型、原理和革新,详细介绍生成式AI、多片段程序编码混淆检测逃避技术、附件恶意载荷技术等新兴钓鱼攻击方式,从强化安全意识、钓鱼邮件内容甄别、恶意附件检测等方面提出针对性的防范措施。

猜你喜欢

附件邮件钓鱼
基于James的院内邮件管理系统的实现
附件三:拟制定的标准汇总表
来自朋友的邮件
关于TSG 07——2019附件M与TSG Z0004——2007内容的对照
CMailServer
一封邮件引发的梅赛德斯反弹
新型武器及附件展呈
附件 注释体例
钓鱼
第七章 去泥盆纪钓鱼