2022 ASRC Q3季度郵件安全報告
摘要: 以下為本季值得特別留意的特殊攻擊手段:
2022 ASRC Q3季度郵件安全報告
時間來到了今年第三季度,隨著國際局勢緊張,帶有惡意鏈接的攻擊郵件較上一季爆增了4倍、帶有HTML的釣魚郵件則翻了3倍;且詐騙及APT攻擊、漏洞的利用都較上季略有上升,但整體垃圾郵件的數(shù)量、常見病毒郵件的數(shù)量都有所下降。值得注意的是利用惡意PDF文件格式進行的攻擊有明顯增加的趨勢。以下為本季值得特別留意的特殊攻擊手段:
被利用的Google翻譯
Google翻譯本身支持了翻譯整個網(wǎng)站的功能,并且可將翻譯結(jié)果頁以鏈接傳送給他人,讓他人也可直接看到翻譯后的結(jié)果,翻譯結(jié)果的網(wǎng)址是Google翻譯的合法網(wǎng)址,所以若是將釣魚網(wǎng)站交給Google翻譯后,取得這個網(wǎng)址,再放入釣魚郵件中傳播,便可利用合法掩護躲過眾多安全檢測。

(釣魚網(wǎng)站由Google翻譯后,穿上了白馬甲)
收件人萬一點擊鏈接則會直接跳轉(zhuǎn)至釣魚網(wǎng)站且大部分瀏覽器的釣魚保護功能不會提醒。不過,如果我們仔細觀察,還是能發(fā)現(xiàn)異常:我們可以看到Google翻譯列的控制選項,正常的登入網(wǎng)站并不會出現(xiàn)。

(識別的秘訣是,會看到Google的翻譯列)
除此之外,網(wǎng)站本身的原碼也做了一些特定的編碼保護,這有助于網(wǎng)絡爬蟲不易識別出這是一個釣魚網(wǎng)站,也讓這類釣魚網(wǎng)站可以存活的更久。

(網(wǎng)站本身的原碼也做了一些特定的編碼保護以躲避爬蟲檢查)
通過 IPFS 協(xié)議續(xù)命
在上述Google翻譯被利用的例子,實際上釣魚郵件的網(wǎng)址是:
而在經(jīng)過了 Google 翻譯之后,網(wǎng)址會跟著改變。不過,目前中國地區(qū)Google翻譯服務已于今年 10月1日正式關閉。目前也算是從物理端解決了該問題,不過可能很快就能在其它平臺看見利用此手段的釣魚郵件。
我們可以看見原始的網(wǎng)址主域為 infura-ipfs.io,這是利用了星際文件系統(tǒng)所實現(xiàn)的分布式儲存。星際文件系統(tǒng)(InterPlanetary File System,縮寫為IPFS)是一個旨在實現(xiàn)文件的分布式儲存、共享和持久化的網(wǎng)絡傳輸協(xié)議。它是一種內(nèi)容可追溯的對等超媒體分發(fā)協(xié)議。在 IPFS 網(wǎng)絡中的節(jié)點構(gòu)成一個分布式文件系統(tǒng)。傳統(tǒng)的惡意文件寄存于單一網(wǎng)站,一旦服務器宕機或聯(lián)機斷線,惡意文件或是釣魚頁面就無法使用。但在 IPFS 上,文件可利用多個網(wǎng)絡節(jié)點傳送,確保內(nèi)容長久保留,大幅度提高了惡意網(wǎng)站的生命周期,對于惡意流量的偵測也變得更加困難。

(惡意頁面或文件開始利用 IPFS 協(xié)議躲避封鎖。)
被利用的在線問卷
釣魚郵件內(nèi)容簡潔,主要以邀請聆聽語音信息作為社交工程的誘騙手段,而語音信息的鏈接,則寄宿于微軟 ncv.microsoft.com。

(攜帶了位于 ncv.microsoft.com 的釣魚鏈接)
點擊該鏈接時,會連到一個釣魚的中介頁面,這個頁面是存放在微軟服務器上真實合法的網(wǎng)址與網(wǎng)頁。但這個頁面卻附帶有一個惡意的釣魚鏈接,并利用了微軟 Dynamics 365 Customer Voice 問卷調(diào)查功能,為了避免受害者發(fā)現(xiàn),中間被嵌入了大量的空白,讓受害者不會直接看到微軟 Dynamics 365 Customer Voice 問卷調(diào)查功能頁的頁尾。由于是以合法網(wǎng)域掩護的釣魚網(wǎng)頁,瀏覽器不會彈出任何警告。

(MSPH_1a.jpg,釣魚攻擊濫用了微軟的在線問卷調(diào)查機制。)
當受害者不慎點擊真正的釣魚鏈接頁面時,并不會馬上開始進行釣魚動作,會先進行人機身份驗證(CAPTCHA)篩除自動爬蟲檢測,讓真正的釣魚網(wǎng)站繼續(xù)潛藏在暗處。

(人機驗證(CAPTCHA),用以篩除自動爬蟲檢測)
通過人機驗證 CAPTCHA 測試后,來到真正釣魚的階段,其目標是為了騙取某些網(wǎng)絡服務的密碼。攻擊者可能考慮到后續(xù)會大量運用發(fā)送釣魚郵件,并為了增加可信度的需求,釣魚網(wǎng)頁會根據(jù)要騙取的電子郵件域名的不同,頁面的Logo圖案會有一些不同的變化。

(目的是為了騙取某些網(wǎng)絡服務密碼)

(logo隨頁面變化)
在這個例子中,可以看見釣魚郵件用了眾多方式,讓人相信它的真實性,并且確認被釣魚的對象是真實的人類。
總結(jié)
通過本季的幾個案例可以觀察到,配合攻擊郵件的釣魚網(wǎng)站除了大量地使用合法公用機制來掩護非法行動外,也會試圖躲避安全人員的自動掃描檢查,并且利用各種先進的技術設法提高釣魚網(wǎng)站、惡意文件的存活時間。攻擊郵件中若不直接攜帶攻擊程序或文件,多半都將其真正的攻擊武器藏于外部的網(wǎng)站上,觸發(fā)方式多數(shù)需要透過瀏覽器及社交工程手段。因此,著重郵件安全的同時也需要留意瀏覽器的安全,并需要養(yǎng)成及時更新的好習慣。

時間來到了今年第三季度,隨著國際局勢緊張,帶有惡意鏈接的攻擊郵件較上一季爆增了4倍、帶有HTML的釣魚郵件則翻了3倍;且詐騙及APT攻擊、漏洞的利用都較上季略有上升,但整體垃圾郵件的數(shù)量、常見病毒郵件的數(shù)量都有所下降。值得注意的是利用惡意PDF文件格式進行的攻擊有明顯增加的趨勢。以下為本季值得特別留意的特殊攻擊手段:
被利用的Google翻譯
Google翻譯本身支持了翻譯整個網(wǎng)站的功能,并且可將翻譯結(jié)果頁以鏈接傳送給他人,讓他人也可直接看到翻譯后的結(jié)果,翻譯結(jié)果的網(wǎng)址是Google翻譯的合法網(wǎng)址,所以若是將釣魚網(wǎng)站交給Google翻譯后,取得這個網(wǎng)址,再放入釣魚郵件中傳播,便可利用合法掩護躲過眾多安全檢測。

(釣魚網(wǎng)站由Google翻譯后,穿上了白馬甲)
收件人萬一點擊鏈接則會直接跳轉(zhuǎn)至釣魚網(wǎng)站且大部分瀏覽器的釣魚保護功能不會提醒。不過,如果我們仔細觀察,還是能發(fā)現(xiàn)異常:我們可以看到Google翻譯列的控制選項,正常的登入網(wǎng)站并不會出現(xiàn)。

(識別的秘訣是,會看到Google的翻譯列)
除此之外,網(wǎng)站本身的原碼也做了一些特定的編碼保護,這有助于網(wǎng)絡爬蟲不易識別出這是一個釣魚網(wǎng)站,也讓這類釣魚網(wǎng)站可以存活的更久。

(網(wǎng)站本身的原碼也做了一些特定的編碼保護以躲避爬蟲檢查)
通過 IPFS 協(xié)議續(xù)命
在上述Google翻譯被利用的例子,實際上釣魚郵件的網(wǎng)址是:

而在經(jīng)過了 Google 翻譯之后,網(wǎng)址會跟著改變。不過,目前中國地區(qū)Google翻譯服務已于今年 10月1日正式關閉。目前也算是從物理端解決了該問題,不過可能很快就能在其它平臺看見利用此手段的釣魚郵件。
我們可以看見原始的網(wǎng)址主域為 infura-ipfs.io,這是利用了星際文件系統(tǒng)所實現(xiàn)的分布式儲存。星際文件系統(tǒng)(InterPlanetary File System,縮寫為IPFS)是一個旨在實現(xiàn)文件的分布式儲存、共享和持久化的網(wǎng)絡傳輸協(xié)議。它是一種內(nèi)容可追溯的對等超媒體分發(fā)協(xié)議。在 IPFS 網(wǎng)絡中的節(jié)點構(gòu)成一個分布式文件系統(tǒng)。傳統(tǒng)的惡意文件寄存于單一網(wǎng)站,一旦服務器宕機或聯(lián)機斷線,惡意文件或是釣魚頁面就無法使用。但在 IPFS 上,文件可利用多個網(wǎng)絡節(jié)點傳送,確保內(nèi)容長久保留,大幅度提高了惡意網(wǎng)站的生命周期,對于惡意流量的偵測也變得更加困難。

(惡意頁面或文件開始利用 IPFS 協(xié)議躲避封鎖。)
釣魚郵件內(nèi)容簡潔,主要以邀請聆聽語音信息作為社交工程的誘騙手段,而語音信息的鏈接,則寄宿于微軟 ncv.microsoft.com。

(攜帶了位于 ncv.microsoft.com 的釣魚鏈接)
點擊該鏈接時,會連到一個釣魚的中介頁面,這個頁面是存放在微軟服務器上真實合法的網(wǎng)址與網(wǎng)頁。但這個頁面卻附帶有一個惡意的釣魚鏈接,并利用了微軟 Dynamics 365 Customer Voice 問卷調(diào)查功能,為了避免受害者發(fā)現(xiàn),中間被嵌入了大量的空白,讓受害者不會直接看到微軟 Dynamics 365 Customer Voice 問卷調(diào)查功能頁的頁尾。由于是以合法網(wǎng)域掩護的釣魚網(wǎng)頁,瀏覽器不會彈出任何警告。

(MSPH_1a.jpg,釣魚攻擊濫用了微軟的在線問卷調(diào)查機制。)
當受害者不慎點擊真正的釣魚鏈接頁面時,并不會馬上開始進行釣魚動作,會先進行人機身份驗證(CAPTCHA)篩除自動爬蟲檢測,讓真正的釣魚網(wǎng)站繼續(xù)潛藏在暗處。

(人機驗證(CAPTCHA),用以篩除自動爬蟲檢測)
通過人機驗證 CAPTCHA 測試后,來到真正釣魚的階段,其目標是為了騙取某些網(wǎng)絡服務的密碼。攻擊者可能考慮到后續(xù)會大量運用發(fā)送釣魚郵件,并為了增加可信度的需求,釣魚網(wǎng)頁會根據(jù)要騙取的電子郵件域名的不同,頁面的Logo圖案會有一些不同的變化。

(目的是為了騙取某些網(wǎng)絡服務密碼)

(logo隨頁面變化)
在這個例子中,可以看見釣魚郵件用了眾多方式,讓人相信它的真實性,并且確認被釣魚的對象是真實的人類。
總結(jié)
通過本季的幾個案例可以觀察到,配合攻擊郵件的釣魚網(wǎng)站除了大量地使用合法公用機制來掩護非法行動外,也會試圖躲避安全人員的自動掃描檢查,并且利用各種先進的技術設法提高釣魚網(wǎng)站、惡意文件的存活時間。攻擊郵件中若不直接攜帶攻擊程序或文件,多半都將其真正的攻擊武器藏于外部的網(wǎng)站上,觸發(fā)方式多數(shù)需要透過瀏覽器及社交工程手段。因此,著重郵件安全的同時也需要留意瀏覽器的安全,并需要養(yǎng)成及時更新的好習慣。
詳情請關注安在新媒體—人物、熱點、互動、傳播,有內(nèi)涵的信息安全新媒體。
