随着我们迈入新的一年,2014年也已尘埃落定,让我们从网络钓鱼的方面回顾一下2014年。如果你一直关注博客,你会了解到我们一直在分析PhishME员工接收的钓鱼邮件。2014年,我们观察到最有趣的网络钓鱼发展趋势是什么?虽然攻击者不断地使用新型恶意软件来武装钓鱼邮件,但绝大多数钓鱼邮件还是使用过时的重复的内容。
十大钓鱼攻击
基于这一趋势,2014年最佳钓鱼邮件的排名可能听起来没那么吸引眼球,但它们使用重复的内容并不意味着我们没有收到许多有趣的钓鱼攻击:
10.传真通知钓鱼:历久弥新,屡试不爽
传真机可能看起来像VH1电视台播放“我爱90年代”迷你剧中的东西一样陈旧,但传真通知却一直是钓鱼邮件中流行的主题。本文讨论的许多攻击都使用传真主题的钓鱼邮件,最近我们接收多次以传真为主题的发送更新版Dyre木马的钓鱼攻击,与一次以Upatre恶意软件为主角的攻击。在Upatre木马下载器的事例中,钓鱼邮件的内容几乎和普通eFax钓鱼的内容一样,但是恶意软件背后的技术手段却是最前沿的。
9..Net 按键记录器:密码一键记录,忘记密码请@我
该攻击以一份普通的银行业务主题的钓鱼邮件为开始,其中邮件携带一个zip附件。这个恶意软件被证实是一个.NET键盘记录器,它可以提取存储在浏览器与其他媒介中的密码。相当要命哟!
8.律师消息:传说中隔壁家的老王
早在2014年春天,我们接受一份自称邻居发送的钓鱼邮件。而这位邻居通过邮件发送一个zip文件,声称文件包含来自收件人律师的敏感信息。为什么你的邻居会通过邮件向你发送来自律师的zip文件?这是一个非常有用问题,也是一个值得深究的问题,因为这个zip文件包含恶意的可执行程序。
7.勒索软件钓鱼:立交赎金,否则撕票
回到2014年5月,我们接收到一轮网络钓鱼,伪装成MAILER-EAEMON邮件投递失败的通知,引诱收件人运行Cryptolocker变种的安装程序。几周后,我接收到传真主题的钓鱼,它也会导致收件人中招Cryptolocker。通过检查攻击者的比特币钱包,我们发现他们收取的赎金超过13w美元(比去学校门口敲诈小学生靠谱多了)。
6.携带PDF漏洞利用的ADP邮件:事关糊口,谁能不紧张
由于这些邮件让攻击者有种高高在上的感觉,并且可以激发收件人的各种情绪,如紧迫、恐惧及贪婪,工资主题的钓鱼邮件就变得非常普遍。ADP钓鱼有什么特别的地方吗?那就是它携带了PDF漏洞利用,可以在PDF阅读器插入shellcode。为了让分析变得复杂,攻击者使用多层zlib压缩与难觅踪迹的变量名。
Freebuf科普
ADP是全球最大的业务处理及云端解决方案提供商——服务涵盖薪资处理、人才管理、人力资源管理、福利管理和考勤管理。
5. 税务局数据录入钓鱼:吃到嘴里的肉,甭想吐出来
冒充美国征税机构是一个屡试不爽的策略。自2014年8份以来,此类型的钓鱼邮件利用收件人获得退税的激动心情,链接到收件人为退税填写支付信息的页面,假设收件人会在钓鱼页面上输入登录凭证。在对钓鱼页面执行开源情报分析后,我们发现相同文档的使用可以追溯到2006年。
4. “荣耀归于乌克兰”钓鱼:巧打政治同情牌
话说2014年7月,Dyre新品种新鲜出炉,打包为宣称含有屏幕保护程序的zip文件。这款恶意软件非常有意思,但是钓鱼邮件?钓鱼邮件是一个简单传真通知,被发送到PhishMe一个高级管理人员。
3.利用攻陷的edu域名传播宙斯(ZeuS)病毒:请还学校一片净土
2014年10底,我们接收到一份很普通的网络钓鱼邮件,包含着宣称是支付消息的附件。这个附件实际上包含一种宙斯(Zeus)病毒。为什么它可以榜上有名?因为攻击者从被攻陷的edu域名发送邮件。教育机构域名受人信任的特点与这些域名通常具有可观的免费带宽为攻击者提供了非常有吸引力的恶意软件传播平台。
2.Dropbox 钓鱼:欲爱不能,欲罢难休
像Dropbox的第三方云服务提供商的崛起为攻击者提供一种在网络中传播污秽消息的新颖的手段。在2014年6月份一大波作为Dyre木马先头部队的邮件中,我们接受到链接到Dropbox上所谓的发票文件。虽然Dropbox链接本身是合法的,但它指向一个zip文件,其中包含scr文件,而不是发票。Dropbox已经迅速禁止这类型的滥用,可事实证明,攻击者有大把的方法来绕过垃圾邮件过滤器。Dropbox的使用十分普遍,致使大多数组织不能够禁止Dropbox连接。几周后,我们在针对台湾政府的目标式攻击看到了滥用的Dropbox连接。
1. 携带Dyre恶意软件的邮件:平凡之中的不平凡
2014年最臭名昭彰的钓鱼邮件咋一看似乎很无辜。实际上,我们接收到两份包含未知恶意软件的邮件,邮件中的链接指向到第三方文件共享服务提供商Cubby。邮件内容本身是平淡无奇的,其中一份邮件指示收件人打开发票的链接,而另一份邮件内容更宽泛些,指示收件人打开详细了解有关纳税失败的链接。这两份邮件均指向当今臭名远扬的恶意软件Dyre,一个针对银行信息和客户数据的远程访问木马(RAT)。Dyre的危害影响广泛,已引起美国计算机应急响应小组(US CERT)的注意。
如果我们从2014年的网络钓鱼仅了解到一件事,那就是网络钓鱼攻击者不断重复(一点创新意识都没,这年头制作棉花糖的大爷都与时俱进了,附赠棉花糖一份,抢到沙发请与客服联系)。这点有助于我们在未来防御网络钓鱼。尽管安全行业一直侧重于IP地址和恶意软件,我们也应该关注策略、技术及协议。聚焦于邮件内容、头部及URL,提炼相应的模式,并采取预防性的措施,可以提供多一层的网络钓鱼的防护。