传闻某团员工钓鱼攻击某多？莫哥带你了解钓鱼邮件攻击！

1337163122

传闻某团员工钓鱼攻击某多？莫哥带你了解钓鱼邮件攻击！原创 莫哥 莫哥谈安全 前天
昨晚，看到了一条有意思的新闻：
​
我不对新闻的真实性做过多的验证，引用该新闻完全只是为了蹭个热点。看到文中提到的使用邮件钓鱼攻击，于是想跟大家谈谈邮件钓鱼攻击的那些事。
本文从以下几方面进行探讨：
1、钓鱼攻击简介
2、钓鱼攻击的那些姿势
3、钓鱼攻击的防范措施


01
钓鱼攻击简介


说到钓鱼邮件攻击，大家并不陌生。无论是目前公开的一些APT报告中，还是常规的红蓝演习，以及实际的国家级攻防演戏（HVV）中，都会有大量的钓鱼攻击出现。

所谓邮件钓鱼攻击，就是往特定的目标发送钓鱼电子邮件，引诱被攻击者打击链接或者打开邮件中的恶意附件的一种攻击方式。邮件钓鱼攻击的优点就是目标投放非常精准，且攻击简单和成本低。但是缺点是技术含量相对较低，而且只要掌握一些基本的、非专业的安全技能和安全意识就可以轻松的进行有效的防范。

事实上，随着国家对网络安全的重视程度持续的升高，各个国家机关单位及企业对内部的网络安全的投入程度也不断的提升。无论是部署大量的安全设备，如WAF、DDOS、NTA/IPS/IDS、EDR等，还是进行大量的渗透测试或者红蓝对抗。因此想从对外开放的服务器或者公有云资产为切入点，再深入到企业内网攻击，攻击的困难程度和成本也随之提升了好多。正因为此，邮件钓鱼攻击就变成了一种非常行之有效的攻击手段。

总之，尽管邮件钓鱼攻击的攻击和防范门槛并不高，但是在实际的攻击中，邮件钓鱼攻击仍然不失为当前最有效的攻击手段。正因为此，邮件钓鱼攻击也是目前APT攻击中使用最多的一种的攻击方式，据不完全统计，有90%的APT攻击，采用邮件钓鱼的攻击方式来进行最初始的攻击。

据Google的威胁分析小组（TAG）统计，2019年有4万多次基于政府支持的邮件钓鱼攻击活动，分布如下（https://blog.google/threat-analy ... cting-you-phishing/）：

​
邮件钓鱼攻击中，最典型的案例莫过于希拉里的邮件门事件。该事件的发生，很大程度上导致了希拉里2016年的竞选失败，也很大程度上改变了近5年来全球的政治环境和生态。

约翰·波德斯塔（John Podesta）为希拉里竞选团队的竞选活动主席，当时，Podesta 收到了一封虚假的 “账户重置” 电子邮件，该电子邮件看似是来自 Google，要求他登录并更改密码：
​
虽然Podesta 对于这封电子邮件产生了疑惑，随后咨询了其中一名助手，但是巧合的是，该助手认为该邮件是合法的（legitimate），并让Podesta修改邮件的密码：
​
​
最终，Podesta输入了自己的账户信息，黑客由此成功访问并泄露了他的电子邮件，扰乱了希拉里的总统竞选活动。



当然，钓鱼邮件攻击也分几种：
1、泛式的邮件钓鱼攻击。在这里，攻击者属于撒网式的攻击，被攻击者并没什么特定的属性。攻击者往往通过搜索引擎等手段随机搜罗了一批邮箱地址，进行钓鱼攻击。 此外，很多攻击往往是蠕虫（如邮件蠕虫）或者是僵尸网络发起；
2、鱼叉攻击。该攻击中，攻击者对根据行动目的，挑选特定的目标人群，然后针对挑选的人群进行针对性的钓鱼攻击。有针对特定的人的、特定的单位的、也有特定的行业属性的（如外贸）。
下文的内容，更多的属于鱼叉攻击的范畴。

02
钓鱼攻击的常用姿势


邮件钓鱼能否攻击成功，主要的关键点为：
1）是否能收集到重要目标的邮箱地址；
2）发件人邮箱是否具有足够的迷惑性；
3）诱饵内容是否具有足够的诱惑性和吸引力；
4）制作的诱饵文件是否能穿透相关的防御设备。
下面分别来谈谈这几个点。



邮箱的收集


目标的邮箱收集，是攻击前的准备工作，该步骤是一个非常关键和重要的环节。当然除了邮箱的收集，也包括一些目标的其他信息，如企业基本信息、企业资产、企业习惯、雇员信息、社交信息、地理位置等等。
搜集的方式很简单，可以使用搜索引擎直接搜索，如要收集某国外交部（mea.gov.in）的相应邮箱：
​
也可以使用infoga等账号收集工具来进行收集：
​
也可以使用hunter.io平台来收集邮箱地址以及邮箱的格式：
​
获取了邮箱格式，就可以通过linkin及脉脉等平台，获取到员工的姓名，然后进行邮件地址的构造：
​
构造完成后，可以使用smtp-user-enum来验证下邮箱是否有效：
​
最后使用邮件群发工具，进行群发即可。



发件人攻击


发件人邮箱是攻击是否能够成功的关键一环，主要攻击方式为：
1）盗用目标社交链中的某人的邮箱；
2）伪造目标社交链中的某人的邮箱；
3）仿冒目标社交链中的某人的邮箱。

• 邮箱盗用
  采用直接攻击、撞库等等手法，先掌握目标社交链中的某人邮箱，如目标的同事、朋友、监管单位、商务合作伙伴等等。
  如蔓灵花组织使用泄露的社工库，利用某部门的邮箱对某核能单位进行钓鱼攻击：
  
  
  ​
  
  

也有通过攻陷跟目标有商务往来的公司，再对目标进行钓鱼攻击：
​

也有攻陷内部员工，利用该员工的账号，在单位或者企业内群发邮件的攻击：
​

• 伪造发件人
  伪造任何想伪装的发件人的邮箱，对目标进行攻击。当然前提是目标邮箱未设置spf。
  攻击原理是：利用smtp不认证发件人的信息，只认证是否在服务器有发邮件权限，因此只需修改掉smtp协议里的发件人信息，修改后的发件人信息是什么，收件人地方就显示什么。
  发件人伪造的工具很多，如在线的伪造平台：
  
  
  
  ​
  也可以在kali中利用自带的工具swaks：
  
  ​
  
  swaks --to xxxx@qq.com --from info@baidu.com --ehlo baidu.com
  --body hello
  --header "Subject: hello"
  相关参数为：
  --to <收件人邮箱>
  --from <要显示的发件人邮箱>
  --ehlo <伪造的邮件ehlo头>
  --body <邮件正文>
  --header <邮件头信息，subject为邮件标题>
  效果：
  ​
  当然，若目标邮箱设置了spf，则会报错：
  
  ​
  当然也有相应的绕过spf的方式，网上资料不少，这里就不再展开。
  
• 仿冒发件人邮箱
  该方式主要是注册政府、银行等机构，或者来往企业等相似的邮箱域名，并且修改为相似的发件人和发件人名字。
  如，某次攻击中，采用的发件邮箱为：
  "Kelly Bai / BSI-SZ" account@bestservices-com.cf
  而正确的为：
  "Kelly Bai / BSI-SZX" <account@bestservices.com.cn>
  又如希拉里邮件门中的发件人地址：
  ​
  正确的google邮箱应该为：no-reply@accounts.google.com。
  
  
  
  
  钓鱼邮件的内容
  
  
  
  

恶意邮件的攻击方式主要为两种：内嵌恶意url和内嵌恶意附件。
邮件里内嵌恶意url的攻击，主要是在邮件内容中嵌相关的url，诱使用户打开。打开的链接往往会是钓鱼网站，盗取账户密码；或者是收集用户相关信息；或者是挂马的站点，从而植入木马。
如某次钓鱼活动：
​
点开后会要求输入邮箱账号和密码：
​
​
为了更好的引诱被攻击者点击链接，也有把url利用脚本，构造成跟附件类似的效果，如某次攻击：
​
点开后，最终会让被攻击者输入账号密码，从而窃取账号密码：
​
也有使用qq邮箱中转站来进行攻击的，如毒云藤的攻击：
​
要求输入邮箱账号密码才能下载附件：
​
还有利用浏览器漏洞进行攻击，如某次钓鱼攻击，实际打开的为含有浏览器漏洞的页面。若浏览器存在漏洞，则会触发恶意代码，下载恶意的文件：
​
​

附带恶意附件的邮件钓鱼攻击，是目前最为普遍的钓鱼方式。该方式为把恶意文件作为邮件附件进行攻击。其中附件往往为精心构造的恶意文件。
​
在使用附件攻击中，攻击者也有一些好玩的伎俩。
伎俩一：附件加密
内嵌的邮件附件带有密码：
​而解压密码藏于邮件正文中：
​
该攻击的好处为，邮件网关中的安全设备，由于无法解密附件的压缩包，而无法进行安全监测，从而无法拦截。以及安全厂商，即便捕捉了该附件样本，由于无法获得邮件正文，也无法进行解密，从而进一步分析。
伎俩二：隐写及恶意文件组合攻击
该攻击中，所有下载到的文件，单独看都无可疑。但是组合在一起，却有"神奇"的效果。该攻击来自朝鲜的KONNI组织。
攻击者发送的邮件中包含两张图片文件和一个文档：
​
文档中提示用户，若想查看图片文件，则需要下载对应的图片浏览器，并附上了下载地址：
​
图片浏览器包含PC版和移动版：
​
下载回来的图片浏览器乍看也是正常的图片浏览器：
​
该攻击的关键：图片中，含有恶意的payload，而该图片浏览器，除了把图片显示外，还会去读取图片中的隐藏的恶意代码，并且执行：
​
​
​

此外，还有一些攻击，同时嵌入了恶意url和恶意附件，如：
​
​
其中url为收集用户信息，恶意附件为了远程控制被攻击者。



邮件主题


邮件钓鱼攻击中的邮件标题和内容，往往有极强的敏感性和诱惑力，主要包括：

• 时事政治；内容；
  
• 政府或企业机密信息；
  
• 简历；
  
• 商务合作；
  
• 账单、行程单；
  
• 明星或政治人物八卦；
  
• ……
  
  

​


​



邮件附件


恶意邮件的附件类型主要有以下几种：

• 可执行文件：直接附带恶意可执行文件的攻击，越来越少。一般采用可执行文件攻击，会采用白+黑和RLO的攻击方式；
  
• Lnk类：以附带命令行为主，如lnk起wscript、powershell等；此外还采用漏洞攻击，如”震网“漏洞；
  
• 脚本类：主要以vbs、js类脚本为主。其中绝大部分的脚本充当下载者的角色。也有发现直接使用脚本进行恶意行为，如JScript、Powershell脚本；
  
• 文档类：文档类是攻击者最喜欢使用并且量最大的类型。其中以office文档和pdf文档类型为最多。使用宏、DDE、Nday、0day等；
  
• 压缩文件：所有上述格式都可以被打包到压缩文件。也有使用WinRAR ACE漏洞的。
  
  

• 可执行文件类
  目前直接在邮件中嵌入可执行文件的攻击并不多见，往往会嵌入到压缩包中进行攻击。
  
  
  ​
  可执行文件的图标往往会做一定的处理，如修改为office、pdf、jpg、文件夹等的图标：
  
  ​
  
  而文件也往往为自解压文件。
  而且，现在好多恶意文件也可以使用购买数字签名来躲避查杀：
  
  ​
  
  

除了直接用可执行文件攻击，还经常使用dll侧加载（白加黑）来进行攻击：
​而即便在邮件附件中直接使用可执行文件，也一般会做RLO处理。RLO，即Right-to-Left Override，可以在⽂件名中插⼊此类unicode字符，来达到⽂件名反转的效果，如：
​
采用RLO：
​
效果为：
​

• lnk类
  lnk类为目前经常使用的一种钓鱼邮件附件。lnk类的攻击样本，主要是附带命令行的快捷方式，执行的命令主要为利用powershell、mshta、wscript等来进行恶意文件的远程下载和执行。
  如SideWinder（响尾蛇）的攻击：
  
  ​
  
  ​
  执行：
  
  ​
  为了使得快捷方式更加的逼真，可以使用远程下载ico，也可以在系统里进行替换：
  
  ​
  
  此外，为了防止替换后的ico在目标机器上不存在时而出现空白的ico图标，可以修改lnk的icon_location标志位，修改为相关后缀，这样系统就会自动的联想本机上对应的文件的图标。
  除了远程下载类，也有本地执行直接powershell脚本代码的：
  
  ​
  
  ​
  
  事实上，lnk除了调用powershell、cmd或者其他的可执行程序外，还可以直接使用lnk漏洞，如大名鼎鼎的大杀器，震网三代漏洞：CVE-2017-8464。
  本来预计该方式会被大规模的应用，但奇怪的是，该漏洞并没有在实际攻击中被广泛的应用。
  
• 脚本类
  脚本类型包括javascript、vbscript、powershell、hta等等。大部分的脚本攻击，主要使用脚本的远程下载功能。也有部分脚本直接在本地执行恶意代码。
  下载类：
  
  ​
  本地执行的，主要有Jscript脚本（有别于javascript脚本）、powershell脚本等：
  
  ​
  
• 文档类
  文档类的恶意文件，为钓鱼攻击中最多的恶意文件类型。恶意文档主要有office文档和pdf文档，其中基于office文档的攻击是攻击者最喜欢的攻击方式。主要原因为：Office用户群体庞大；并且Office文档类型众多，从而导致漏洞类型比较多，攻击者可供选择的载体多。
  利用office文档攻击，主要的攻击方式有：宏、DDE、模板注入、内嵌恶意OLE对象、漏洞攻击等。
  VBA宏：
  VBA宏病毒为古老的病毒技术，已经出现20多年。但是至今仍为一种重要的攻击方式。如：
  ​
  可以使用宏编辑器，直接编辑和调试宏代码：
  
  ​
  
  
  ​
  此外，为了防止分析者分析，也可以给宏添加密码：
  
  ​
  
  ​
  Excel宏4.0
  27多年前，office还不支持VBA宏的时候，为了满足自动化的需求，Excel 4.0引入了Excel 4.0宏，又叫做XLM 宏。但仅仅一年后，Excel5.0中就引入了VBA宏，Excel 4.0宏也就无人问津。在历史的长河中，Excel 4.0宏昙花一现，但却被有心人记住了，并用于网络攻击中。
  如gorgon组织某次攻击中使用的Excel4.0宏：
  
  ​
  创建方法为：
  右键插入宏工作表，选择MS Excel4.0宏表：
  
  ​
  然后编写宏代码，如：
  ​
  执行：
  ​
  效果为：
  ​
  模板注入：
  由于宏代码是本地执行的，容易被安全软件查杀。其次docx等open XML文档格式，并不支持宏。为了躲避查杀和使得该格式支持宏，使用模板注入的技术来解决。
  只要更改word中 \word_rels\settings.xml.rels内容来加载远程模板：
  ​
  打开后就会执行：
  ​
  当然，远程下载的文档，可以为带宏的文档，也可以为带有漏洞的恶意文档等。
  DDE：
  DDE为动态数据交换协议，它用于在共享数据的应用程序之间发送消息，使用共享内存在应用程序之间交换数据。应用程序可以使用DDE协议进行一次性数据传输和持续交换。该协议目前已被微软的对象链接与嵌入（OLE）协议所代替，但DDE协议仍然能够使用。
  首先创建windows域：
  ​
  然后编译域代码，使用DDE协议：
  
  ​
  
  ​
  打开构造后的文档后，提示:
  
  ​
  
  ​
  最后执行：
  
  
  ​
  漏洞：
  Office文档中，常使用的漏洞为：CVE-2017-0199、CVE-2017-8759、CVE-2017-8570、CVE-2017-11882、CVE-2018-0802等。
  此外，还可以利用内嵌对象，使用内嵌对象的漏洞进行攻击，如内嵌flash对象，利用flash漏洞进行攻击：
  
  ​
  
  常用的flash漏洞包括：CVE-2015-5119、CVE-2015-5122、CVE-2018-4878、CVE-2018-5002等。
  
  
  最后，除了office文档攻击外，pdf和chm等文档的攻击也非常常见，如chm文档：
  ​
  执行后提示：
  ​
  内嵌的脚本：
  
  ​
  
• 压缩包类
  上述所有类型的恶意文件，都可以也往往都打包成为压缩包进行攻击。但是值得注意的，使用Winrar ACE漏洞（CVE-2018-20250）来进行攻击的攻击也非常流行。
  如某带有漏洞的压缩包：
  ​
  解压后，除了解压出正常的文件外，还会在启动目录释放恶意文件：
  ​
  这样，一旦机器重启，就会启动该启动目录下的恶意文件。
  
  

03
邮件钓鱼攻击的防范措施


针对邮件安全的解决方案，主要是：

• 开启邮件防护措施，防止伪造邮箱等，如SPF、DKIM、DMARC
  
• 安全意识等的提升
  
• 安全产品或体系，如邮件安全网关、终端类安全产品、零信任
  
  

1、谈谈SPF、DKIM、DMARC
上面在伪造发件人攻击里讲到，邮件服务器开启spf，能防止某些伪造发件人的攻击。
SPF：Sender Policy Framework，即发件人策略框架。SPF 记录实际上是服务器的一个 DNS 记录。流程如下：
​
除了SPF外，还有DKIM协议，及基于SPF和DKIM的DMARC协议。
DKIM是电子邮件验证标准：域名密钥识别邮件标准DomainKeys Identified Mail的缩写。
原理是：
首先产生两组钥匙，公钥(public key)和私钥(private key)，公钥将会存放在 DNS中，而私钥会存放在寄信服务器中。私钥会自动产生，并依附在邮件头中，发送到寄信者的服务器里。公钥则放在DNS服务器上，供自动获得。收信的服务器，将会收到夹带在邮件头中的私钥和在DNS上自己获取公钥，然后进行比对，比较寄信者的域名是否合法，如果不合法，则判定为垃圾邮件。
简单流程：
​

而DMARC全称Domain-based Message Authentication, Reporting and Conformance ，是基于现有的DKIM和SPF两大主流电子邮件安全协议发展而来的。DMARC是验证邮件是否是伪造的，但是验证方式为SPF或者DKIM，或者两者皆有。此外，还具有举报的功能。

因此，建议企业的邮件服务器中，开启SPF或者DKIM。

2、安全意识的提升
安全意识的提升，简单的说是要学会识别钓鱼，不要随便点开陌生人的邮件中的附件和链接等。那么这里的关键就是，怎么识别什么是钓鱼邮件？
钓鱼邮件的识别，主要有以下几种方式：
1）看发件人地址。如果是公务邮件，发件人多数会使用工作邮箱，如果发现对方使用的是个人邮箱帐号或者邮箱账号拼写很奇怪，那么就需要提高警惕；
2）看发件的日期。公务邮件通常接收邮件的时间在工作时间内，如果收到邮件是非工作时间，需要提高警惕。比如，凌晨3点钟；
3）看邮件标题。大量钓鱼邮件主题关键字涉及“系统管理员”、“通知”、“订单”、“采购单”、“发票”、“会议日程”、“参会名单”、“历届会议回顾”等，收到此类关键词的邮件，需提高警惕；
4）看正文措辞。对使用“亲爱的用户”、“亲爱的同事”等一些泛化问候的邮件应保持警惕。同时也要对任何制造紧急气氛的邮件提高警惕，如要求“请务必今日下班前完成”，这是让人慌忙中犯错的手段之一；
5)看正文目的。当心对方索要登录密码，一般正规的发件人所发送的邮件是不会索要收件人的邮箱登录账号和密码的，所以在收到邮件后要留意此类要求避免上当；
6)看正文内容。当心邮件内容中需要点击的链接地址，若包含“&redirect”字段，很可能就是钓鱼链接；当心垃圾邮件的“退订”功能，有些垃圾邮件正文中的“退订”按钮可能是虚假的。点击之后可能会收到更多的垃圾邮件，或者被植入恶意代码。可以直接将发件人拉进黑名单，拒收后续邮件；
7)看附件内容。当心邮件中的附件信息，不要随便点击下载。诸如word、pdf、excel、PPT、rar等文件都可能植入木马程序，尤其是附件中直接带有后缀为.exe、.bat的可执行文件，千万不要点击；


学会识别钓鱼邮件后，还需要做到：
1）登录口令要保密。要做到不向任何人主动或轻易地泄露邮箱的密码信息。不要将登录口令贴在办公桌或者易于被发现的记事本上。办公邮箱的密码要定期更换；
2）不用工作邮箱注册公共网站的服务，也不要用工作邮箱发送私人邮件；
3）不要轻信发件人地址中显示的“显示名”。因为显示名实际上是可以随便设置的，要注意阅读发件邮箱全称；
4）不要轻易点开陌生邮件中的链接。正文中如果有链接地址，切忌直接打开。如果接到的邮件是邮箱升级、邮箱停用等办公信息通知类邮件，在点开链接时，还应认真比对链接中的网址是否为单位网址，如果不是，则可能为钓鱼邮件；
5）不要放松对“熟人”邮件的警惕。攻击者常常会利用攻陷的组织内成员邮箱发送钓鱼邮件，如果收到了来自信任的朋友或者同事的邮件，你对邮件内容表示怀疑，可直接拨打电话向其核实；
6）不要使用公共场所的网络设备执行敏感操作。不要使用公共场所的电脑登入电子信箱、使用即时通讯软件、网上银行或进行其它涉及敏感资料的操作。在无法确定其安全性的前提下，请不要在连接Wi-Fi后进行登录和收发邮件，慎防免费无线网络因疏于管理被别有用心人士使用数据截留监侦手段获取用户信息；

企业的安全部门也要做好相应的安全意识培训工作，并且定期组织钓鱼演习等。

3、安全解决方案
针对安全解决方案，除了常规的打补丁、关闭必要的端口外，还建议企业配备一些安全产品。
如邮件安全网关：
邮件安全网关的主要原理为：
1）集成威胁情报：识别恶意发件人、邮件里的链接、恶意附件等；
2）沙箱：把附件丢到沙箱进行判断；
3）特征：常用的一些行为和流量特征
4）异常检测：基于异常行为的一些检测，如外部邮箱大量群发；发送对象无组织交集等。

安全终端：如EDR，主要是检测附件落地或者执行后的一些异常行为。

零信任：
这里同样需要提到零信任。零信任同样是钓鱼攻击的一个很好的解决方案。零信任在该场景的最大特点是：即便该终端被突破，也不会造成业务损失、业务数据泄漏，以及内网大规模的感染。
具体的关于零信任的话题，我们下一篇再谈（本来上篇文章说下一篇谈零信任，不过正好看到热点，就想先蹭个热点，因此先插入了邮件安全。给大家说声抱歉。）