钓鱼邮件一直是计算机世界的祸害几十年,甚至击败我们最好的打击他们的努力。我们大多数人可以很容易地通过其主题行中发现它们甚至没有开放删除。如果我们不能完全肯定,并最终打开它们,我们可以立即识别其过于正式的问候,外国血统,拼写错误,并且过分殷勤努力向我们发送数百万美元不劳而获或向我们兜售可疑产品网络钓鱼企图。在大多数情况下,钓鱼攻击是未成年人威胁我们用Delete键解决。
进入鱼叉式网络钓鱼:一种针对网络钓鱼的有针对性的方法,它被证明是邪恶的有效的,即使是对经验最丰富的安全专家。为什么?因为它们是由深思熟虑的专业人士精心设计的,他们似乎了解你的业务、你当前的项目、你的兴趣。他们不会通过试图向你出售任何东西或声称有钱可以赠送而给你小费。事实上,今天的鱼叉式网络钓鱼的目的远比单纯的金融盗窃更为险恶。
下面就来看看有什么与众不同当今最先进的spearphishing尝试 - 以及如何从堕入他们的进步保持。
这次袭击是由专业罪犯手工制造的
传统上,网络钓鱼电子邮件是由低端的骗子们创建的,他们选择的是不切实际的方法:把一条草率的信息和大量的垃圾邮件拼凑在一起。你一定会找到人的。事实上,网络钓鱼的企图越明显越好,因为这将确保诱捕最容易上当受骗的人。
在这个过程中的某个地方发生了变化。职业罪犯和有组织犯罪意识到发送更好的垃圾邮件可以赚很多钱。Brian Krebs 2015年畅销书”垃圾邮件国家“追溯到俄罗斯职业犯罪团伙的兴起,这些团伙每年赚上千万美元,支持多家大公司,其中一些人假装合法,在证券交易所交易。
然后,民族国家也加入了这场游戏,意识到一些精心设计的电子邮件可以帮助他们绕过最艰难的防御,只需瞄准合适的员工。今天,绝大多数高级持续性威胁(apt)通过发送几封电子邮件在受害公司中站稳脚跟。
今天的专业网络罪犯工作9到5天,交税,周末和假期休息。他们为之工作的公司通常有几十到数百名员工,向当地执法部门和政界人士行贿,而且往往被视为所在地区的首选雇主。为那些闯入其他国家的公司工作的人常常自豪地戴着爱国徽章。
这些专业黑客作坊都有分工。市场营销团队通常由高管领导,寻找愿意花钱攻击某家公司获取信息的客户,尽管工厂通常会攻击任何一家特定的公司,然后再将信息推向市场。
研究和监督团队收集目标公司的组织结构、业务伙伴、可访问互联网的服务器、软件版本和当前项目的信息。他们通过访问目标公司的公共网站,并闯入一些受保护较弱的商业伙伴,从而获得了这些信息的大部分。
这项研究被传递给一个最初的妥协者团队,他们在目标组织内部建立了锚定。这个团队是工厂中最重要的团队,它被分成几个技术娴熟的小组,每个小组都专注于一个特定的领域:打入服务器、发起客户端攻击、执行社会工程攻击或鱼叉网络钓鱼。鱼叉网络钓鱼团队与研究团队携手合作,将相关主题和项目与他们的模板式电子邮件模板混合在一起。
还有其他球队。后门团队在初始登录安全后进入,通过插入后门特洛伊木马、创建新的用户帐户以及清空受损组织中的每个登录凭据来帮助确保以后的轻松登录。
然后,像任何好的咨询公司一样,一个长期的团队致力于这个“客户”。这个团队围绕着寻找重要的信息,详细说明组织的结构和重要人物。在很短的时间内,他们就知道公司的每一个防御系统,以及如何绕过它。当一些新项目或大数据出现在网上时,这个团队是最先知道的。任何可能有意思的信息都会被复制以备保存和将来出售。
如果这听起来有点不同于一个脚本孩子在网吧草草整理电子邮件,你就会知道为什么今天的网络钓鱼尝试要有效得多。这是一份日常工作——通过面试获得——有薪水、福利和项目奖金。它甚至还附带了保密协议、人事纠纷和部门政治。
别搞错了:钓鱼邮件去亲。
这次袭击是由你认识的人发送
今天的网络钓鱼邮件通常来自于你每天都在跟你发邮件的人,而不是尼日利亚王子。他们通常看起来像是来自老板、团队领导或其他权威人士,负责管理链,以确保受害者打开电子邮件,并更有可能按照邮件所说的做任何事。
电子邮件可能是从意味着类似于权威人士的个人电子邮件帐户外,声音相似的电子邮件帐户。毕竟,谁没有从同事谁不小心用他或她的个人账户接收工作相关的电子邮件?我们接受它作为一个常见的错误。
它可能来自一个流行的公共电子邮件服务器(Hotmail、Gmail等)的一个发音相似的帐户名,发件人声称使用这个以前未知的帐户,因为他们被锁定在工作电子邮件之外。再说一遍,谁以前没经历过?
但更可能的情况是,假冒钓鱼电子邮件似乎来自其他人的实际工作电子邮件地址到达,或者是因为网络钓鱼组织能够从外部发送伪造电子邮件发起地址,或者它已经成功地损害了其他人的电子邮件帐户。后者正在成为最流行的攻击方法 - 谁也不会通过点击他们的老板送的链接?
那次攻击包括你正在进行的一个项目
许多spearphishing受害者堕入恶意的发送者似乎知道什么项目,他们正在工作的事实。这是因为spearphishers已经花时间研究他们或已在一个同事的电子邮件帐户一会儿的控制。The email may include a subject line like “Here is that report on XYZ you’ve been waiting on,” or “Here are my edits to the report you sent,” with an attached copy of a report originally sent by the receiver, but with an updated autolaunch malicious link. It might also allude to a project’s viability, asking, “Do you think this will impact our project?” or exclaiming “Someone beat us to it!” with a link to a malicious news article that appears related to the project.
我见过一些声称是律师给离婚者增加子女抚养费的电子邮件。我见过专业组织的领导人发到他们的会员名单上的钓鱼邮件。我见过一些发给C级官员的电子邮件,声称有未决诉讼信息,要求接收者运行可执行文件来“解锁”所附的机密PDF文件。我看到过向IT安全专家发送的虚假更新,声称包含了一个供应商的安全更新,关于他们最近购买和安装的产品。
邮件主题和正文内容不是“看这个!“普通的诡计。不,今天的钓鱼邮件来自你信任的某个你正在做的项目的人。在你读了其中的一些之后,你开始希望我们所担心的只是假临终亲属和伟哥广告。
你的攻击者一直在监视你公司的电子邮件
这些天公司的攻击者监控数十电子邮件帐户在你的公司。这是他们得到必要的上下文来欺骗你的同事和在那里他们可以监控你的公司最敏感和最有价值的信息。
如果你发现你的公司被泄露了,假设所有的C级员工和VIP电子邮件帐户都被泄露了,而且已经泄露了很长时间。就连最初关于坏人可能被发现的报道也可能就在他们眼前。他们知道你知道什么。
当面对这种对手时,唯一的解决办法就是建立一个完全“带外”的网络,包括全新的电脑和新的电子邮件帐户。其他任何事情都可能是浪费时间。
攻击者可以根据需要拦截和更改电子邮件
今天的对手不只是一个被动的读者。他们拦截和更改电子邮件,尽管略有下降,在需要时。是的决定可能会变得没有;没有可能成为肯定的。有时关键收件人将邮件的接收器列表中删除。多个接收器可被添加。电子邮件组可以被修改。加密和签名可以被关闭。
在我读过的最臭名昭著的一个例子中,一家公司知道它与一个APT严重受损。为了收回网络,服务台发出了一封电子邮件,要求每个收件人更改密码。当然,这将使恶意入侵者更难出去——除非入侵者控制了帮助台的电子邮件帐户。就在电子邮件被发送之前,入侵者更改了嵌入的链接,以便它将用户带到由入侵者控制的公司密码更改网站的完美副本。用户遵循帮助台的指示,但这样做允许入侵者捕获每一次密码更改。
你的攻击者使用自定义或内置工具颠覆杀毒软件
几十年来,钓鱼邮件每天使用的恶意软件工具作为附件。今天,他们使用内置到您正在运行的操作系统的定制工具,伪造和你明确加密,或程序。其结果是一样的:你的反恶意软件扫描程序不拿起恶意文件或命令。而当坏公司是在网络上,他们都小心翼翼地只运行相同。
写在受害人的恶意脚本的内置脚本语言(PowerShell中,PHP等)正在迅速成为选择的工具。PowerShell是即使没有显示在恶意软件工具包,它最终使PowerShell的只是恶意程序,证明在这里和在这里和在这里.
助长这一趋势的事实是,反恶意软件软件,甚至法医调查人员,很难确定一个合法的工具是否被用于邪恶的目的。以远程桌面协议(RDP)连接为例。几乎每个管理员都使用它们。当坏人也这么做时,很难确定RDP连接何时在做恶意的事情。不仅如此,如果不删除好人清理系统所需的工具,就很难移除阻止攻击者的合法工具。
你的攻击者使用军用级加密隧道数据的家
恶意软件的使用随机挑选端口将数据复制了你的网络的日子已经一去不复返了。因此,同样是使用普遍保留端口(如端口IRC 6667),以发送命令和远程控制恶意创作的天。
现在每个恶意软件程序都通过SSL/TLS端口443工作,并使用行业认可的、军方认可的AES加密。大多数公司都很难观察到443号港的交通状况,而且大多数公司甚至都没有尝试过。公司越来越多地使用防火墙和其他网络安全设备,通过用自己的443数字证书替换入侵者的443数字证书来查看443流量。但是,当443流中的数据被AES进一步加密时,这对法医调查人员没有好处。这是难以逾越的官样文章。
恶意软件作者使用的标准加密是如此之好,连联邦调查局告诉勒索软件的受害者只要付钱就行了. 事实上,如果你发现一个恶意软件程序运行在除443以外的任何端口上,并且没有使用AES加密来掩盖其踪迹,那么它可能是由一个脚本kiddie编写的。或者,它在你的环境中存在了很长时间,而你现在才发现它。
你的攻击者掩盖了他们的踪迹
直到近几年,大多数公司从未费心去实现自己的日志文件,或如果他们这么做,他们没有收集它们并提醒可疑事件。但是时代已经改变,现在它捍卫者将被视为疏忽,如果他们没有启用,并检查在日常工作日志。
坏家伙利用技术,如命令行和脚本命令,这是不太可能的事件记录工具被拾起回应,或者他们只是删除日志他们时完成。一些更复杂的攻击者利用rootkit程序,该恶意修改操作系统跳过他们的恶意工具的任何实例的执行。
你的攻击者已经在你的环境中呆了好几年了
的平均时间专业的犯罪组织一直在受害者的公司被发现之前,通常在几个月测年。我经常与那些在他们公司的多个专业团伙,有的已经用于内长达8来公司工作。