原标题:从钓鱼信诱饵分析出你应该强化防御的目标,Palo Alto提出防御网钓攻击的逆向思考
图片来源:李宗翰 摄影
锁定特定目标的鱼叉式网路钓鱼攻击(Spear Phishing),手法越来越高明,令人防不胜防,有心人士透过电子邮件夹带的文件档案或嵌入的网页,经过精心设计、量身打造,以假乱真的程度日益提高,一般使用者从里面的内容,越来越难判断出是否为他人所假造,以及内藏可植入电脑的恶意后门程式,而产生警觉。
然而,换个角度来看,这些「诱饵(Decoy)」本身的内容因为太过专属,其实,某种程度,等于暴露了攻击者所要针对的对象。在台湾骇客年会HITCON Pacific 2016上,Palo Alto Network公司威胁情报团队总监Ryan Olson,就特别以此为题,畅谈若能有效分析这些诱饵档案的内容,将更能够识别出对方所要攻击的目标身分。
首先,所谓的「诱饵」究竟是指什幺?Ryan Olson解释,在网路钓鱼信件当中,除了夹带经过特製的漏洞利用文件(Exploit Document),使用者一旦开启透过应用程式开启这些档案时,可透过应用程式的漏洞,趁机植入后门木马程式,而在漏洞利用文件里面用来博取使用者信任、误以为正常的门面「档案」,就是所谓的诱饵文件(Decoy Document),而不同于后门程式与漏洞利用程式。
但过去以来,我们其实很少看到资安厂商特别针对「诱饵」进行研究。Ryan Olson认为,单就诱饵文件而言,其实就能找出谁是即将受到攻击的目标。例如,根据文件使用的「语言」、文件描述的「主题」、使用者接收到文件的「时间」,以及文件取得的「来源」,可能就足以描绘、归纳出攻击者所要针对的目标。
Ryan Olson举了他们收集到的许多网路钓鱼信样本,作为说明範例。
以诱饵文件所用的语言来说,我们能够推测攻击者所要诱骗的使用者国籍,以及所在地区範围,例如里面是印尼文,可能就是针对该国人民而来。
其次,诱饵文件内容所描述的主题,与攻击者有兴趣或有意参与的行为相关,举凡抢救太空研究计画、节庆祝福卡等。
诱饵文件内容与发出的时间,也可能与特定活动举行有关,举凡研讨会邀请函、电影首映会通知。
至于文件的来源,有些很容易从外部取得,例如透过网际网路的各种公开网站拼凑,有些则是特定组织、部门所专属的文件格式或表单样式,若要让攻击目标搞不清楚内容真假,而无法察觉异常,进而心生警惕,攻击发动者则需要把诱饵文件模仿得维妙维肖,才能增高对方上当的机率。
有时候,攻击者在仿製诱饵文件内容时,也会因为出错而露出马脚。Ryan Olson也举了一个这样特殊的例子。对方用萤幕撷图的方式,想要快速产生诱饵文件,却不小心把开启的应用程式和作业系统桌面,也一起撷取下来,然后合成到诱饵文件上,而资安分析人员如果收集到这种样本,就可以推测出攻击者的国籍、应用程式、甚至建立诱饵的时间。
关于这些诱饵运用的网路钓鱼策略,Ryan Olson也举出近期的实际案例——Lotus Blossom Group黑客集团发动的Operation Lotus Blossom攻击。根据Palo Alto的Unit 42威胁研究团队的分析,这个攻击活动时间长达3年以上,主要目标是东南亚5个国家的政府与军事单位,发起者可能是由国家资助的团体,而截至目前为止,他们已发起57个攻击行动。
而Operation Lotus Blossom攻击当中,所用的后门程式称为Elise,而所用的诱饵非常多元,针对越南,在Unit 42的报告中列出8种夹档类型,而对付菲律宾的部份,也有6种诱饵。台湾也是这个团体的目标,但他们目前并未找到诱饵文件。
最后,Palo Alto未来对于诱饵文件的具体因应作法,Ryan Olson也在大会上揭露。他们打算透过剖析诱饵文件内容的方式,产生出文字云(Word-Cloud),以突显特定关键字词,归纳出攻击者惯用的主题,以及所用的文件。
相关:
Amazon周四(12/1)发表了全新的分散式阻断服务(Distributed Denial of Service,DDoS)攻击的防御服务—AWS Shield,它分为免费的标準版AWS Shield Standard ,以及付费的进阶版AWS Shield Advanced,前者适用于AW
台肥新任董事长康信鸿今天表示,全力配合政府新南向政策,子公司台湾农业发展公司将前进东南亚,邀请策略股东加入,合力拓展全球市场;若逢风灾,也会进口当地蔬菜,平抑物价。身为总统蔡英文执政以来,首位正式接任
俄军机、驱逐舰现身钓鱼岛海域! 日战机紧急升空!哪位高人解读一下? 原标题:日媒:俄军机在钓鱼岛附近飞行日战机紧急升空 参考消息网11月24日报道 日媒...原标题:日媒:俄军机在钓鱼岛附近飞行日战机紧急升空 参考消息网
瑞士信贷银行今天发表的报告指出,2015至2016年间,巴西百万富豪人数从16万2000人增至17万2000人。百万富豪的定义是指,不算主要住宅外,拥有活动资金超过100万美元的人士。2015年巴西国內生产毛额衰退3.8%,2016年
这次更危险!脸书钓鱼视频又来了,假冒好友私讯骗你植入勒索软件Locky
图片来源: Bart Blaze 继先前9月初的脸书钓鱼影片威胁之后,昨天脸书又出现了更危险的勒索软体诱骗手法。这次不只是偷取个人资料,还直接植入了勒索软体Locky,来绑架你的电脑档案。两名资讯安全研究人员Bart Blaze近