网络钓鱼是一种常见攻击方法,对此,企业信息安全团队一直在教育用户关于打开可疑电子邮件和附件的危害。
现在的网络钓鱼攻击者非常善于创建极具吸引力的诱饵,专家称单靠教育用户已经无法阻止这种最复杂的网络钓鱼攻击。
案例分析:本周高级威胁检测供应商FireEye揭露了一个攻击者团伙FIN4,该团伙自2013年中以来已经攻击超过100家企业。根据FireEye的报告显示,FIN4主要专注于攻击高级用户的账户信息,这些用户知道企业兼并重组、重大消息和其他尚未发生的重要事件,他们的潜在目标是利用窃取的信息来在股市上获得丰厚的利润。
新的复杂网络钓鱼攻击
虽然对于攻击者来说,特别是那些由民族国家支持的攻击者,瞄准正在进行并购交易的企业是很常见的事情,而FIN4与众不同之处在于该组织用来绕过企业安全措施时使用的网络钓鱼诱饵非常复杂。其一,FIN4的网络钓鱼邮件显现出英语国家居民水平的英语语言命令,这是大多数其他网络钓鱼邮件所缺少的方面。
FIN4还能够使用针对性的语言来瞄准特定组织或者个人,增加诱出所需回复的可能性。例如,FireEye报告记录了该团伙的网络钓鱼活动被模拟为举报人式的电子邮件,告知企业高管有员工涉嫌泄露私有业务事宜到网上。
威胁情报反钓鱼供应商PhishLabs主管Don Jackson称,FIN4执行中涉及的细节是典型的顶级“捕鲸”攻击,即企业个人被指控涉嫌鱼叉式钓鱼攻击,因为他们持有价值信息或者在企业内具有影响力。
Jackson表示,FIN4攻击者费了很多力气来确保他们的网络钓鱼计划中使用的诱饵会让特定目标感兴趣。在某些情况下,他指出该团伙只是简单地利用合法文档,在其中插入了恶意Visual Basic for Application(VBA)宏来搜集账户信息,使得更容易欺骗不知情的最终用户。
“FIN4攻击者表现出很多的制度能力,他们了解在他们试图渗透的环境中人员和系统如何交互的术语和流程、经验,并明白有针对性资产的特定价值,”Jackson表示,“如果目标的价值如实,我们会看到诱饵是完美和经得起考验的。”
发给企业高管的FIN4网络钓鱼电子邮件
FIN4并不是唯一的高级网络钓鱼者
虽然FIN4使用的网络钓鱼手段毫无疑问很复杂,但Jackson也警告企业,他们并不是利用这种手段的唯一攻击者。
例如,Jackson表示最近的US-CERT公告介绍了在最近的网络钓鱼活动中所使用的Dyre/Dyreza银行恶意软件。US-CERT称,这些钓鱼攻击针对不同的个人使用了不同的诱饵,包括换出附件、有效载荷和主体,不过钓鱼者特别喜欢利用恶意PDF附件来瞄准过时版本的Adobe Reader软件。
Dyre恶意软件本身不仅能够收集账户信息,还可以监控企业网络流量和绕过Web浏览器中的SSL机制。相较于Dyre和高级网络钓鱼攻击中常见的远程访问木马程序,Jackson表示,FIN4利用的VBA宏实际上相当简陋,并可能导致该团伙被检测。
“FIN4电子邮件的水平让我想起Dyre背后的攻击者针对一些大型金融机构和投资公司所使用的电子邮件,”Jackson表示,“最近攻击者通过电子邮件进行的电汇发票诈骗也显现了类似的针对性和侦察水平。这些攻击者也具有显著的制度能力,但没有表现出于FIN4攻击相同的执行技巧。”
抵御高级钓鱼攻击
对于企业应该如何防御这种高级网络钓鱼攻击,Jackson称,反钓鱼措施也逐渐成为一种“智力游戏”, FIN4和其他攻击团伙显示的多样化功能、操作复杂性和决心,都意味着企业不能只靠用户教育来抵御攻击。
Jackson表示,企业应该收集FireEye在其报告中提到的诱骗邮件和攻击指标的数据,并可以对这些数据进行分析以确定攻击者如何执行攻击、是否使用恶意软件以及哪些软件被瞄准。
“这样一来,企业就可以调整风险管理和安全态势,而有针对性的个人也可以得到提前警告,”Jackson表示,“还可以了解威胁攻击者的足够信息,以更有效地应对威胁。”