門嘉平 肖揚(yáng)文 馬 濤

1(清華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系 北京 100084) 2(國(guó)家市場(chǎng)監(jiān)督管理總局信息中心 北京 100820)

(mjp20@mails.tsinghua.edu.cn)

釣魚(yú)郵件是指黑客利用精心設(shè)計(jì)的高欺騙性郵件，通過(guò)偽造發(fā)件人信息以獲得收件人信任，誘使收件人對(duì)郵件進(jìn)行直接回復(fù)、點(diǎn)擊郵件正文中的惡意鏈接、打開(kāi)隱藏惡意程序的附件文件等，從而實(shí)現(xiàn)非法收集收件人敏感信息、執(zhí)行惡意代碼等攻擊目的，為下一步攻擊作準(zhǔn)備的一種網(wǎng)絡(luò)攻擊形式.釣魚(yú)郵件操作簡(jiǎn)單，欺騙性強(qiáng)，但是危害巨大，具有很強(qiáng)的針對(duì)性，可以對(duì)運(yùn)維部門及高管等有價(jià)值的目標(biāo)實(shí)施精準(zhǔn)攻擊.釣魚(yú)郵件是打開(kāi)內(nèi)網(wǎng)通道的極佳入口，作為一種普遍的社會(huì)工程學(xué)攻擊方法，是黑客常用的攻擊手段之一.根據(jù)SophosLabs統(tǒng)計(jì)數(shù)據(jù)顯示，在其2020年9月捕獲的所有垃圾郵件中，釣魚(yú)郵件的比例高達(dá)97%以上[1].2020年4月20日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布的《2019年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》報(bào)告指出，2019年針對(duì)黨政機(jī)關(guān)和關(guān)鍵基礎(chǔ)設(shè)施等重要單位的APT(advanced persistent threat)攻擊日益猖獗，逐步向軍民融合和“一帶一路”等領(lǐng)域蔓延，尤其在重大活動(dòng)和敏感時(shí)期活動(dòng)更加頻繁.其中，黑客常用的技術(shù)手段就是投遞高誘惑性釣魚(yú)郵件，據(jù)CNCERT監(jiān)測(cè)顯示，2019年重要黨政機(jī)關(guān)共收到釣魚(yú)郵件高達(dá)50萬(wàn)次以上[2].

因此，有必要對(duì)釣魚(yú)郵件的攻擊機(jī)制進(jìn)行探討，深刻認(rèn)識(shí)釣魚(yú)郵件的極大危害，從而提高對(duì)釣魚(yú)郵件的防范意識(shí)，采取切實(shí)可行的防范措施.

1 釣魚(yú)郵件攻擊原理

1.1 釣魚(yú)郵件目的

黑客一般會(huì)通過(guò)研究收件人的興趣愛(ài)好、社會(huì)關(guān)系等，通過(guò)偽造發(fā)件人信息，從而精心構(gòu)造諸如軟件升級(jí)、中獎(jiǎng)確認(rèn)、會(huì)議通知、上級(jí)命令、薪資調(diào)整等高誘惑性郵件標(biāo)題，從而誘使收件人打開(kāi)郵件并進(jìn)行相應(yīng)操作，最終實(shí)現(xiàn)黑客的非法目的.

黑客發(fā)起釣魚(yú)郵件的目的主要包括以下幾種：

1) 非法獲取收件人敏感信息

黑客通過(guò)郵件標(biāo)題和正文內(nèi)容，故意營(yíng)造某種場(chǎng)景，從而引起收件人產(chǎn)生驚喜或恐慌等情緒反應(yīng)，誘使收件人根據(jù)黑客指示，在無(wú)意識(shí)的情況下泄露個(gè)人敏感信息.比如：

① 以系統(tǒng)管理員的口吻發(fā)送郵件升級(jí)通知，需要收件人填寫個(gè)人郵箱名和郵箱密碼進(jìn)行核對(duì)，從而導(dǎo)致收件人個(gè)人郵箱賬戶、所有收發(fā)郵件及郵件聯(lián)系人信息泄露；

② 以活動(dòng)主辦方的名義發(fā)送中獎(jiǎng)信息或者重要會(huì)議通知，誘使收件人填寫身份證號(hào)、手機(jī)號(hào)、銀行卡號(hào)、家庭住址等信息；

③ 以公檢法的名義偽造官方文件，營(yíng)造恐慌氛圍，壓縮收件人反應(yīng)時(shí)間，促使收件人在短時(shí)間內(nèi)填寫個(gè)人敏感信息并發(fā)送.

2) 非法獲得收件人錢財(cái)

黑客通過(guò)構(gòu)造中獎(jiǎng)信息或者直接進(jìn)行勒索.比如：

① 以活動(dòng)主辦方的名義發(fā)送中獎(jiǎng)信息，需要提前支付手續(xù)費(fèi)、信息核對(duì)費(fèi)等，從而導(dǎo)致收件人產(chǎn)生直接經(jīng)濟(jì)損失；

② 誘使收件人點(diǎn)擊郵件正文中惡意鏈接或者運(yùn)行附件惡意程序，導(dǎo)致系統(tǒng)被加密，需要交付一定數(shù)量的贖金(一般以比特幣的形式)；

③ 獲得收件人郵件中的所有內(nèi)容和附件，尤其是一些個(gè)人無(wú)法公開(kāi)的信息或材料，并以此要挾收件人支付贖金.

3) 為下一步攻擊作準(zhǔn)備

有經(jīng)驗(yàn)的黑客往往會(huì)為下一步攻擊作準(zhǔn)備，比如權(quán)限提升或者對(duì)電腦實(shí)施遠(yuǎn)程控制，從而謀取更大的利益.在大量的APT攻擊案例中，收件人往往不知道自己電腦已經(jīng)被黑客控制，致使受攻擊程度較重.比如：

① 收件人點(diǎn)擊郵件正文中的惡意鏈接，觸發(fā)惡意網(wǎng)站隱藏的木馬或間諜程序，導(dǎo)致個(gè)人電腦“被動(dòng)”受控；

② 收件人打開(kāi)釣魚(yú)郵件附件，運(yùn)行惡意代碼，“主動(dòng)”安裝惡意程序，致使黑客可以遠(yuǎn)程控制收件人電腦；

③ 黑客直接利用收件人郵箱實(shí)施進(jìn)一步詐騙，比如以收件人名義給出虛假報(bào)價(jià)，誘使其他買家支付一定數(shù)額的預(yù)付款，或者以收件人名義進(jìn)行其他詐騙活動(dòng)；

④ 黑客申請(qǐng)一個(gè) 與收件人類似用戶名和郵箱地址，并實(shí)時(shí)監(jiān)控收件人郵箱或者攔截發(fā)往原郵箱的所有郵件，伺機(jī)獲得錢財(cái).

4) 政治目的

有些黑客發(fā)起釣魚(yú)郵件攻擊是為了獲得機(jī)密信息以營(yíng)造政治影響，從而達(dá)到一定的政治目的.比如：

① 2016年3月美國(guó)希拉里競(jìng)選團(tuán)隊(duì)主席打開(kāi)偽裝成谷歌公司警告郵件的短鏈接，并根據(jù)黑客指示修改密碼，導(dǎo)致其個(gè)人郵箱密碼泄露，致使郵箱中所有來(lái)往郵件內(nèi)容及機(jī)密文件為黑客獲取并在維基解密公開(kāi)，從而直接導(dǎo)致希拉里競(jìng)選的失敗；

② 2020年3月11日，環(huán)球網(wǎng)發(fā)布消息，據(jù)某網(wǎng)絡(luò)安全權(quán)威人士透露，新冠疫情爆發(fā)之后，大量來(lái)自臺(tái)灣的釣魚(yú)郵件利用疫情熱點(diǎn)詞匯作為主題，有針對(duì)性地攻擊黨政機(jī)關(guān)、科研院所、醫(yī)療衛(wèi)生系統(tǒng)等機(jī)構(gòu)，誘導(dǎo)目標(biāo)人員打開(kāi)郵件附件，從而達(dá)到竊密目的；

③ 2020年12月3日，IBM安全團(tuán)隊(duì)X-Force發(fā)布一份報(bào)告，稱發(fā)現(xiàn)具有政府背景的黑客正瞄準(zhǔn)COVID-19疫苗冷鏈，偽裝海爾生物醫(yī)藥公司高管給支持疫苗冷鏈的其他高管發(fā)送釣魚(yú)郵件，試圖誘導(dǎo)收件人打開(kāi)包含惡意HTML的附件，從而滲透或破壞疫苗供應(yīng)鏈[3].

1.2 釣魚(yú)郵件攻擊方式

1) 郵件正文自身具有欺騙性

這是最簡(jiǎn)單直接的攻擊方式，黑客幾乎不需要高深的技術(shù)手段，僅利用一般人的心理弱點(diǎn)，直接在郵件正文中通過(guò)文字營(yíng)造一種恐慌或者驚喜的氛圍，偽造中獎(jiǎng)通知、單位高管通知、運(yùn)維部門通知等，從而讓收件人按照發(fā)件人要求直接回復(fù)郵件或進(jìn)行相關(guān)操作，從而造成收件人個(gè)人敏感信息泄露或者財(cái)物損失.

比如假冒內(nèi)部運(yùn)維通知郵件，以內(nèi)部系統(tǒng)升級(jí)、僵尸賬號(hào)清理、賬戶重新驗(yàn)證等為由，要求收件人輸入賬號(hào)、密碼及其他個(gè)人詳細(xì)信息，致使攻擊者獲得內(nèi)部權(quán)限，或者利用已獲得的信息實(shí)施進(jìn)一步的詐騙.

2) 郵件正文插入惡意鏈接

這種攻擊方式需要一定的技術(shù)基礎(chǔ)，黑客在郵件中插入惡意鏈接，等待收件人進(jìn)行點(diǎn)擊.惡意鏈接可能是一個(gè)簡(jiǎn)單的惡意程序下載入口，或者是偽造的網(wǎng)頁(yè)(比如與已知網(wǎng)站類似但是拼寫略有差別的超鏈接)等.有些黑客對(duì)郵件的內(nèi)容進(jìn)行精心構(gòu)造，在郵件正文中混雜官方合法的資源鏈接和惡意的虛假鏈接，從而避開(kāi)垃圾郵件過(guò)濾器的篩選，騙取收件人的信任.

比如德國(guó)電影《我是誰(shuí)：沒(méi)有絕對(duì)安全的系統(tǒng)》中，黑客組合CLAY通過(guò)在垃圾堆中獲得的目標(biāo)信息，精心構(gòu)造了包含可愛(ài)貓咪圖片的釣魚(yú)郵件，德國(guó)情報(bào)局內(nèi)部員工點(diǎn)擊了圖片鏈接，從而為CLAT入侵德國(guó)情報(bào)局網(wǎng)絡(luò)提供了入口[4].

3) 郵件附件隱藏惡意程序

這種攻擊方式需要中等技術(shù)基礎(chǔ)，是比較常見(jiàn)的一種攻擊方式.尤其如今垃圾郵件過(guò)濾不斷升級(jí)，黑客更多地會(huì)選擇在郵件附件中隱藏木馬，從而實(shí)現(xiàn)非法目的.黑客將木馬程序隱藏在郵件附件中，一旦收件人處于無(wú)意或好奇打開(kāi)附件就會(huì)運(yùn)行木馬/病毒程序，導(dǎo)致數(shù)據(jù)泄露或者其他后果.黑客常用的附件類型有文檔(word,ppt,excel等)、圖片(gif,png等)、壓縮包(zip,rar等)、腳本程序(exe,vbs,bat等)等，而且一般都會(huì)使用超長(zhǎng)文件名隱藏后綴，從而規(guī)避郵箱安全機(jī)制的過(guò)濾.其中，利用word文檔宏代碼調(diào)用powershell執(zhí)行惡意程序安裝進(jìn)程比較常見(jiàn)，而zip等壓縮包通常用來(lái)對(duì)惡意軟件進(jìn)行“隱身”，從而避開(kāi)郵件沙箱或殺毒軟件的直接查殺.

比如2019年4月發(fā)現(xiàn)的sodinokibi勒索病毒，以稅務(wù)、司法等名義發(fā)送釣魚(yú)郵件，附件名稱為“最高法院文件.doc.exe”“稅務(wù)局文件.doc.exe”等，由于系統(tǒng)默認(rèn)不顯示文件擴(kuò)展名，收件人雙擊打開(kāi)看似為doc的可執(zhí)行文件，快速完成安裝sodinokibi勒索病毒并對(duì)收件人電腦中所有文件進(jìn)行加密，從而勒索巨額贖金[5].

4) 利用操作系統(tǒng)或應(yīng)用軟件漏洞

這種攻擊方式需要較高的技術(shù)基礎(chǔ)，黑客使用郵件作為媒介，利用操作系統(tǒng)或應(yīng)用軟件(瀏覽器、Office組件、Adobe Reader等)等存在的0-day或N-day漏洞，精心構(gòu)造攻擊載荷，從而達(dá)到攻擊目的.黑客需要對(duì)收件人使用的操作系統(tǒng)或應(yīng)用軟件進(jìn)行比較精準(zhǔn)的識(shí)別，攻擊成本較高，但是一旦攻擊成功，黑客獲得收益極大.

比如2017年12月發(fā)現(xiàn)的“商貿(mào)信“病毒，利用Office遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-11882)，偽裝成采購(gòu)單、對(duì)賬單、報(bào)價(jià)單等文件，收件人不需要任何交互，只要將文件下載并打開(kāi)，此病毒就將自動(dòng)從云端下載遠(yuǎn)程控制木馬，進(jìn)而竊取收件人電腦上保存的郵箱、社交賬戶、銀行卡、比特幣等上百種賬號(hào)及密碼，而且還會(huì)對(duì)其他網(wǎng)絡(luò)目標(biāo)發(fā)起DDoS攻擊[6].

5) 利用郵件協(xié)議自身漏洞

最初的SMTP協(xié)議缺乏發(fā)件人的身份驗(yàn)證機(jī)制，允許使用構(gòu)造的發(fā)件人信息，這就為不法分子提供了可乘之機(jī).雖然SMTP-AUTH擴(kuò)展加入了身份認(rèn)證機(jī)制，但是效果仍舊不理想.SPF(sender policy framework)機(jī)制有助于過(guò)濾絕大部分垃圾郵件(包括釣魚(yú)郵件)，但是如果郵箱沒(méi)有設(shè)置SPF，那么利用Kali Linux系統(tǒng)自帶的swaks工具就可以很容易地向目標(biāo)收件人寄送偽造的釣魚(yú)郵件，而且Kali Linux系統(tǒng)自帶的萬(wàn)能爆破工具h(yuǎn)ydra可以輕松實(shí)現(xiàn)對(duì)常見(jiàn)郵件協(xié)議的爆破.

比如2017年德國(guó)研究員Haddouche發(fā)現(xiàn)高達(dá)33個(gè)郵箱客戶端中存在MailSploit 漏洞，可以讓任意用戶偽造發(fā)件人身份發(fā)送郵件.2020年發(fā)現(xiàn)的OpenBSD SMTP漏洞，攻擊者可以在存在漏洞的OpenSMTPD上執(zhí)行任意的Shell命令.

2 釣魚(yú)郵件與APT攻擊

APT攻擊，完整名稱為高級(jí)持續(xù)性威脅，指針對(duì)特定對(duì)象進(jìn)行的持久而隱秘的攻擊活動(dòng)，綜合運(yùn)用社會(huì)工程學(xué)和多個(gè)漏洞實(shí)施攻擊，通常具有較強(qiáng)的隱蔽性，一般會(huì)長(zhǎng)期駐留在目標(biāo)系統(tǒng)中.而釣魚(yú)郵件是APT成功實(shí)施的關(guān)鍵因素之一.下面簡(jiǎn)單舉一些實(shí)例：

1) RSA SecurID竊取攻擊

2011年3月，RSA公司部分職工收到標(biāo)題為“2011 Recruitment Plan”的釣魚(yú)郵件，并附有名為“2011Recruitment Plan.xls”的附件，內(nèi)含Adobe Flash的0day漏洞(CVE-2011-0609)的利用程序.RSA公司郵件過(guò)濾機(jī)制已自動(dòng)將其歸為垃圾郵件，但其中一位職工將其從垃圾郵件中恢復(fù)并打開(kāi)附件閱讀，導(dǎo)致該主機(jī)被植入遠(yuǎn)程控制工具，并致使其他與之連接的服務(wù)器被黑客植入惡意程序.最終若干SecurID技術(shù)及敏感客戶資料被黑客竊取，直接導(dǎo)致使用SecurID作為認(rèn)證憑證構(gòu)建VPN的公司(比如洛克希德·馬丁公司、諾斯羅普公司等)遭受黑客入侵，重要技術(shù)資料遭到竊取[7].

2) 暗鼠攻擊

2011年8月，McAfee/Symantec公司發(fā)現(xiàn)了此種攻擊.黑客構(gòu)造一些具有誘惑性且?guī)в懈郊?內(nèi)含漏洞利用程序)的郵件發(fā)送給特定人員，以公司人力部門的名義通知收件人更新組織通訊錄，或者以財(cái)務(wù)部門的名義請(qǐng)其審核某個(gè)真實(shí)存在的項(xiàng)目預(yù)算等等，當(dāng)收件人打開(kāi)xls格式附件，木馬程序就可以利用Excel程序遠(yuǎn)程代碼執(zhí)行漏洞而實(shí)現(xiàn)安裝.然后，借助木馬程序，黑客可以與收件人主機(jī)建立遠(yuǎn)程Shell連接從而實(shí)現(xiàn)遠(yuǎn)程控制.

3) Nitro攻擊

2011年10月，Symantec報(bào)告了針對(duì)化工企業(yè)進(jìn)行竊取資料的Nitro攻擊.首先目標(biāo)企業(yè)的職工收到高誘惑性釣魚(yú)郵件，閱讀郵件時(shí)打開(kāi)偽裝成文檔的惡意可執(zhí)行程序，導(dǎo)致主機(jī)被植入Poison Ivy后門程序；或者黑客將可執(zhí)行程序放入壓縮文件中，誘使收件人解壓并執(zhí)行其中的可執(zhí)行文件，從而實(shí)現(xiàn)后門程序的安裝.Poison Ivy對(duì)80端口進(jìn)行加密通信，上傳收件人賬號(hào)等相關(guān)信息，并不斷在公司內(nèi)部網(wǎng)絡(luò)搜集更多的敏感信息.

4) Luckycat攻擊

2012年3月，TrendMicro報(bào)告了針對(duì)印度和日本的能源、軍隊(duì)、航天等單位的Luckycat攻擊.此次攻擊起始于釣魚(yú)郵件，標(biāo)題大多與福島核電站輻射(2011年3月福島核電站由于地震發(fā)生泄漏事故)相關(guān)，郵件附件包含CVE-2010-3333，CVE-2010-2883，CVE-2010-3654，CVE-2011-0611，CVE-2011-2462等針對(duì)pdf/rtf的漏洞利用程序.黑客一旦成功滲透進(jìn)內(nèi)網(wǎng)就會(huì)發(fā)起C&C遠(yuǎn)程控制，竊取各類敏感信息.

5) 烏克蘭電網(wǎng)攻擊

2015年12月23日，烏克蘭電網(wǎng)遭受黑客攻擊，導(dǎo)致烏克蘭一半地區(qū)發(fā)生斷電事故.黑客首先發(fā)送釣魚(yú)郵件，其中包含BlackEnergy3木馬載荷的附件.電力公司的職工一旦打開(kāi)附件，將植入BlackEnergy3木馬，致使黑客獲得電力公司工控網(wǎng)絡(luò)的登錄權(quán)限，直接關(guān)閉斷路器導(dǎo)致電力供應(yīng)中斷.然后BlackEnergy3下載惡意組件KillDisk并啟動(dòng)，刪除重要日志文件和MBR記錄，實(shí)施系統(tǒng)破壞[8].

6) “豐收行動(dòng)”攻擊

2016年7月，東巽科技2046Lab發(fā)現(xiàn)并報(bào)告了“豐收行動(dòng)”APT攻擊.此攻擊將木馬可執(zhí)行程序偽裝成word文檔，其中包含CVE-2015-1641(Word類型混淆漏洞)漏洞利用程序.以釣魚(yú)郵件的方式發(fā)送給目標(biāo)人員，待收件人打開(kāi)附件時(shí)實(shí)現(xiàn)安裝，旨在竊取軍事相關(guān)情報(bào).

7) “海蓮花”“蔓靈花”攻擊

根據(jù)CNCERT檢測(cè)結(jié)果顯示，2019年“海蓮花”組織利用境外服務(wù)器，不斷對(duì)我國(guó)黨政機(jī)關(guān)和重要行業(yè)發(fā)起釣魚(yú)郵件攻擊，其中主要利用的漏洞包括Office組件的CVE-2017-8570和CVE-2017-11882等.“蔓靈花”組織在2019年全國(guó)“兩會(huì)”、新中國(guó)成立70周年等重大活動(dòng)期間，有針對(duì)性地對(duì)黨政機(jī)關(guān)、能源機(jī)構(gòu)的數(shù)百個(gè)目標(biāo)發(fā)送了釣魚(yú)郵件.

3 釣魚(yú)郵件防范措施

釣魚(yú)郵件的危害巨大，需要引起高度重視.俗話說(shuō)“三分技術(shù)，七分管理”，對(duì)于公司來(lái)說(shuō)需要做到：

1) 組織員工進(jìn)行釣魚(yú)郵件防范培訓(xùn)，提高全員網(wǎng)絡(luò)空間安全防范意識(shí)；

2) 在公司內(nèi)部不定期進(jìn)行釣魚(yú)郵件安全測(cè)試，及時(shí)發(fā)現(xiàn)問(wèn)題并采取補(bǔ)救措施；

3) 使用高安全性郵件系統(tǒng)，并及時(shí)配置安全過(guò)濾機(jī)制；

4) 敦促員工安裝殺毒軟件，并及時(shí)更新病毒庫(kù).

對(duì)于個(gè)人來(lái)說(shuō)，需要做到：

1) 認(rèn)真學(xué)習(xí)CNCERT發(fā)布的《釣魚(yú)郵件攻擊防范指南》[9]，做到“五要”“五不要”，增強(qiáng)安全防范意識(shí)；

2) 不要輕信發(fā)件人地址顯示的“顯示名”，遇到索要敏感信息的郵件需要及時(shí)通過(guò)電話核實(shí)；

3) 切忌輕易打開(kāi)郵件中文中的短鏈接，謹(jǐn)防上當(dāng)受騙，造成財(cái)物損失；

4) 安裝殺毒軟件，郵件附件運(yùn)行前先進(jìn)行病毒查殺.