門嘉平 肖揚文 馬 濤

1(清華大學計算機科學與技術(shù)系 北京 100084) 2(國家市場監(jiān)督管理總局信息中心 北京 100820)

(mjp20@mails.tsinghua.edu.cn)

釣魚郵件是指黑客利用精心設計的高欺騙性郵件，通過偽造發(fā)件人信息以獲得收件人信任，誘使收件人對郵件進行直接回復、點擊郵件正文中的惡意鏈接、打開隱藏惡意程序的附件文件等，從而實現(xiàn)非法收集收件人敏感信息、執(zhí)行惡意代碼等攻擊目的，為下一步攻擊作準備的一種網(wǎng)絡攻擊形式.釣魚郵件操作簡單，欺騙性強，但是危害巨大，具有很強的針對性，可以對運維部門及高管等有價值的目標實施精準攻擊.釣魚郵件是打開內(nèi)網(wǎng)通道的極佳入口，作為一種普遍的社會工程學攻擊方法，是黑客常用的攻擊手段之一.根據(jù)SophosLabs統(tǒng)計數(shù)據(jù)顯示，在其2020年9月捕獲的所有垃圾郵件中，釣魚郵件的比例高達97%以上[1].2020年4月20日，國家互聯(lián)網(wǎng)應急中心(CNCERT)發(fā)布的《2019年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述》報告指出，2019年針對黨政機關(guān)和關(guān)鍵基礎設施等重要單位的APT(advanced persistent threat)攻擊日益猖獗，逐步向軍民融合和“一帶一路”等領(lǐng)域蔓延，尤其在重大活動和敏感時期活動更加頻繁.其中，黑客常用的技術(shù)手段就是投遞高誘惑性釣魚郵件，據(jù)CNCERT監(jiān)測顯示，2019年重要黨政機關(guān)共收到釣魚郵件高達50萬次以上[2].

因此，有必要對釣魚郵件的攻擊機制進行探討，深刻認識釣魚郵件的極大危害，從而提高對釣魚郵件的防范意識，采取切實可行的防范措施.

1 釣魚郵件攻擊原理

1.1 釣魚郵件目的

黑客一般會通過研究收件人的興趣愛好、社會關(guān)系等，通過偽造發(fā)件人信息，從而精心構(gòu)造諸如軟件升級、中獎確認、會議通知、上級命令、薪資調(diào)整等高誘惑性郵件標題，從而誘使收件人打開郵件并進行相應操作，最終實現(xiàn)黑客的非法目的.

黑客發(fā)起釣魚郵件的目的主要包括以下幾種：

1) 非法獲取收件人敏感信息

黑客通過郵件標題和正文內(nèi)容，故意營造某種場景，從而引起收件人產(chǎn)生驚喜或恐慌等情緒反應，誘使收件人根據(jù)黑客指示，在無意識的情況下泄露個人敏感信息.比如：

① 以系統(tǒng)管理員的口吻發(fā)送郵件升級通知，需要收件人填寫個人郵箱名和郵箱密碼進行核對，從而導致收件人個人郵箱賬戶、所有收發(fā)郵件及郵件聯(lián)系人信息泄露；

② 以活動主辦方的名義發(fā)送中獎信息或者重要會議通知，誘使收件人填寫身份證號、手機號、銀行卡號、家庭住址等信息；

③ 以公檢法的名義偽造官方文件，營造恐慌氛圍，壓縮收件人反應時間，促使收件人在短時間內(nèi)填寫個人敏感信息并發(fā)送.

2) 非法獲得收件人錢財

黑客通過構(gòu)造中獎信息或者直接進行勒索.比如：

① 以活動主辦方的名義發(fā)送中獎信息，需要提前支付手續(xù)費、信息核對費等，從而導致收件人產(chǎn)生直接經(jīng)濟損失；

② 誘使收件人點擊郵件正文中惡意鏈接或者運行附件惡意程序，導致系統(tǒng)被加密，需要交付一定數(shù)量的贖金(一般以比特幣的形式)；

③ 獲得收件人郵件中的所有內(nèi)容和附件，尤其是一些個人無法公開的信息或材料，并以此要挾收件人支付贖金.

3) 為下一步攻擊作準備

有經(jīng)驗的黑客往往會為下一步攻擊作準備，比如權(quán)限提升或者對電腦實施遠程控制，從而謀取更大的利益.在大量的APT攻擊案例中，收件人往往不知道自己電腦已經(jīng)被黑客控制，致使受攻擊程度較重.比如：

① 收件人點擊郵件正文中的惡意鏈接，觸發(fā)惡意網(wǎng)站隱藏的木馬或間諜程序，導致個人電腦“被動”受控；

② 收件人打開釣魚郵件附件，運行惡意代碼，“主動”安裝惡意程序，致使黑客可以遠程控制收件人電腦；

③ 黑客直接利用收件人郵箱實施進一步詐騙，比如以收件人名義給出虛假報價，誘使其他買家支付一定數(shù)額的預付款，或者以收件人名義進行其他詐騙活動；

④ 黑客申請一個 與收件人類似用戶名和郵箱地址，并實時監(jiān)控收件人郵箱或者攔截發(fā)往原郵箱的所有郵件，伺機獲得錢財.

4) 政治目的

有些黑客發(fā)起釣魚郵件攻擊是為了獲得機密信息以營造政治影響，從而達到一定的政治目的.比如：

① 2016年3月美國希拉里競選團隊主席打開偽裝成谷歌公司警告郵件的短鏈接，并根據(jù)黑客指示修改密碼，導致其個人郵箱密碼泄露，致使郵箱中所有來往郵件內(nèi)容及機密文件為黑客獲取并在維基解密公開，從而直接導致希拉里競選的失??；

② 2020年3月11日，環(huán)球網(wǎng)發(fā)布消息，據(jù)某網(wǎng)絡安全權(quán)威人士透露，新冠疫情爆發(fā)之后，大量來自臺灣的釣魚郵件利用疫情熱點詞匯作為主題，有針對性地攻擊黨政機關(guān)、科研院所、醫(yī)療衛(wèi)生系統(tǒng)等機構(gòu)，誘導目標人員打開郵件附件，從而達到竊密目的；

③ 2020年12月3日，IBM安全團隊X-Force發(fā)布一份報告，稱發(fā)現(xiàn)具有政府背景的黑客正瞄準COVID-19疫苗冷鏈，偽裝海爾生物醫(yī)藥公司高管給支持疫苗冷鏈的其他高管發(fā)送釣魚郵件，試圖誘導收件人打開包含惡意HTML的附件，從而滲透或破壞疫苗供應鏈[3].

1.2 釣魚郵件攻擊方式

1) 郵件正文自身具有欺騙性

這是最簡單直接的攻擊方式，黑客幾乎不需要高深的技術(shù)手段，僅利用一般人的心理弱點，直接在郵件正文中通過文字營造一種恐慌或者驚喜的氛圍，偽造中獎通知、單位高管通知、運維部門通知等，從而讓收件人按照發(fā)件人要求直接回復郵件或進行相關(guān)操作，從而造成收件人個人敏感信息泄露或者財物損失.

比如假冒內(nèi)部運維通知郵件，以內(nèi)部系統(tǒng)升級、僵尸賬號清理、賬戶重新驗證等為由，要求收件人輸入賬號、密碼及其他個人詳細信息，致使攻擊者獲得內(nèi)部權(quán)限，或者利用已獲得的信息實施進一步的詐騙.

2) 郵件正文插入惡意鏈接

這種攻擊方式需要一定的技術(shù)基礎，黑客在郵件中插入惡意鏈接，等待收件人進行點擊.惡意鏈接可能是一個簡單的惡意程序下載入口，或者是偽造的網(wǎng)頁(比如與已知網(wǎng)站類似但是拼寫略有差別的超鏈接)等.有些黑客對郵件的內(nèi)容進行精心構(gòu)造，在郵件正文中混雜官方合法的資源鏈接和惡意的虛假鏈接，從而避開垃圾郵件過濾器的篩選，騙取收件人的信任.

比如德國電影《我是誰：沒有絕對安全的系統(tǒng)》中，黑客組合CLAY通過在垃圾堆中獲得的目標信息，精心構(gòu)造了包含可愛貓咪圖片的釣魚郵件，德國情報局內(nèi)部員工點擊了圖片鏈接，從而為CLAT入侵德國情報局網(wǎng)絡提供了入口[4].

3) 郵件附件隱藏惡意程序

這種攻擊方式需要中等技術(shù)基礎，是比較常見的一種攻擊方式.尤其如今垃圾郵件過濾不斷升級，黑客更多地會選擇在郵件附件中隱藏木馬，從而實現(xiàn)非法目的.黑客將木馬程序隱藏在郵件附件中，一旦收件人處于無意或好奇打開附件就會運行木馬/病毒程序，導致數(shù)據(jù)泄露或者其他后果.黑客常用的附件類型有文檔(word,ppt,excel等)、圖片(gif,png等)、壓縮包(zip,rar等)、腳本程序(exe,vbs,bat等)等，而且一般都會使用超長文件名隱藏后綴，從而規(guī)避郵箱安全機制的過濾.其中，利用word文檔宏代碼調(diào)用powershell執(zhí)行惡意程序安裝進程比較常見，而zip等壓縮包通常用來對惡意軟件進行“隱身”，從而避開郵件沙箱或殺毒軟件的直接查殺.

比如2019年4月發(fā)現(xiàn)的sodinokibi勒索病毒，以稅務、司法等名義發(fā)送釣魚郵件，附件名稱為“最高法院文件.doc.exe”“稅務局文件.doc.exe”等，由于系統(tǒng)默認不顯示文件擴展名，收件人雙擊打開看似為doc的可執(zhí)行文件，快速完成安裝sodinokibi勒索病毒并對收件人電腦中所有文件進行加密，從而勒索巨額贖金[5].

4) 利用操作系統(tǒng)或應用軟件漏洞

這種攻擊方式需要較高的技術(shù)基礎，黑客使用郵件作為媒介，利用操作系統(tǒng)或應用軟件(瀏覽器、Office組件、Adobe Reader等)等存在的0-day或N-day漏洞，精心構(gòu)造攻擊載荷，從而達到攻擊目的.黑客需要對收件人使用的操作系統(tǒng)或應用軟件進行比較精準的識別，攻擊成本較高，但是一旦攻擊成功，黑客獲得收益極大.

比如2017年12月發(fā)現(xiàn)的“商貿(mào)信“病毒，利用Office遠程代碼執(zhí)行漏洞(CVE-2017-11882)，偽裝成采購單、對賬單、報價單等文件，收件人不需要任何交互，只要將文件下載并打開，此病毒就將自動從云端下載遠程控制木馬，進而竊取收件人電腦上保存的郵箱、社交賬戶、銀行卡、比特幣等上百種賬號及密碼，而且還會對其他網(wǎng)絡目標發(fā)起DDoS攻擊[6].

5) 利用郵件協(xié)議自身漏洞

最初的SMTP協(xié)議缺乏發(fā)件人的身份驗證機制，允許使用構(gòu)造的發(fā)件人信息，這就為不法分子提供了可乘之機.雖然SMTP-AUTH擴展加入了身份認證機制，但是效果仍舊不理想.SPF(sender policy framework)機制有助于過濾絕大部分垃圾郵件(包括釣魚郵件)，但是如果郵箱沒有設置SPF，那么利用Kali Linux系統(tǒng)自帶的swaks工具就可以很容易地向目標收件人寄送偽造的釣魚郵件，而且Kali Linux系統(tǒng)自帶的萬能爆破工具hydra可以輕松實現(xiàn)對常見郵件協(xié)議的爆破.

比如2017年德國研究員Haddouche發(fā)現(xiàn)高達33個郵箱客戶端中存在MailSploit 漏洞，可以讓任意用戶偽造發(fā)件人身份發(fā)送郵件.2020年發(fā)現(xiàn)的OpenBSD SMTP漏洞，攻擊者可以在存在漏洞的OpenSMTPD上執(zhí)行任意的Shell命令.

2 釣魚郵件與APT攻擊

APT攻擊，完整名稱為高級持續(xù)性威脅，指針對特定對象進行的持久而隱秘的攻擊活動，綜合運用社會工程學和多個漏洞實施攻擊，通常具有較強的隱蔽性，一般會長期駐留在目標系統(tǒng)中.而釣魚郵件是APT成功實施的關(guān)鍵因素之一.下面簡單舉一些實例：

1) RSA SecurID竊取攻擊

2011年3月，RSA公司部分職工收到標題為“2011 Recruitment Plan”的釣魚郵件，并附有名為“2011Recruitment Plan.xls”的附件，內(nèi)含Adobe Flash的0day漏洞(CVE-2011-0609)的利用程序.RSA公司郵件過濾機制已自動將其歸為垃圾郵件，但其中一位職工將其從垃圾郵件中恢復并打開附件閱讀，導致該主機被植入遠程控制工具，并致使其他與之連接的服務器被黑客植入惡意程序.最終若干SecurID技術(shù)及敏感客戶資料被黑客竊取，直接導致使用SecurID作為認證憑證構(gòu)建VPN的公司(比如洛克希德·馬丁公司、諾斯羅普公司等)遭受黑客入侵，重要技術(shù)資料遭到竊取[7].

2) 暗鼠攻擊

2011年8月，McAfee/Symantec公司發(fā)現(xiàn)了此種攻擊.黑客構(gòu)造一些具有誘惑性且?guī)в懈郊?內(nèi)含漏洞利用程序)的郵件發(fā)送給特定人員，以公司人力部門的名義通知收件人更新組織通訊錄，或者以財務部門的名義請其審核某個真實存在的項目預算等等，當收件人打開xls格式附件，木馬程序就可以利用Excel程序遠程代碼執(zhí)行漏洞而實現(xiàn)安裝.然后，借助木馬程序，黑客可以與收件人主機建立遠程Shell連接從而實現(xiàn)遠程控制.

3) Nitro攻擊

2011年10月，Symantec報告了針對化工企業(yè)進行竊取資料的Nitro攻擊.首先目標企業(yè)的職工收到高誘惑性釣魚郵件，閱讀郵件時打開偽裝成文檔的惡意可執(zhí)行程序，導致主機被植入Poison Ivy后門程序；或者黑客將可執(zhí)行程序放入壓縮文件中，誘使收件人解壓并執(zhí)行其中的可執(zhí)行文件，從而實現(xiàn)后門程序的安裝.Poison Ivy對80端口進行加密通信，上傳收件人賬號等相關(guān)信息，并不斷在公司內(nèi)部網(wǎng)絡搜集更多的敏感信息.

4) Luckycat攻擊

2012年3月，TrendMicro報告了針對印度和日本的能源、軍隊、航天等單位的Luckycat攻擊.此次攻擊起始于釣魚郵件，標題大多與福島核電站輻射(2011年3月福島核電站由于地震發(fā)生泄漏事故)相關(guān)，郵件附件包含CVE-2010-3333，CVE-2010-2883，CVE-2010-3654，CVE-2011-0611，CVE-2011-2462等針對pdf/rtf的漏洞利用程序.黑客一旦成功滲透進內(nèi)網(wǎng)就會發(fā)起C&C遠程控制，竊取各類敏感信息.

5) 烏克蘭電網(wǎng)攻擊

2015年12月23日，烏克蘭電網(wǎng)遭受黑客攻擊，導致烏克蘭一半地區(qū)發(fā)生斷電事故.黑客首先發(fā)送釣魚郵件，其中包含BlackEnergy3木馬載荷的附件.電力公司的職工一旦打開附件，將植入BlackEnergy3木馬，致使黑客獲得電力公司工控網(wǎng)絡的登錄權(quán)限，直接關(guān)閉斷路器導致電力供應中斷.然后BlackEnergy3下載惡意組件KillDisk并啟動，刪除重要日志文件和MBR記錄，實施系統(tǒng)破壞[8].

6) “豐收行動”攻擊

2016年7月，東巽科技2046Lab發(fā)現(xiàn)并報告了“豐收行動”APT攻擊.此攻擊將木馬可執(zhí)行程序偽裝成word文檔，其中包含CVE-2015-1641(Word類型混淆漏洞)漏洞利用程序.以釣魚郵件的方式發(fā)送給目標人員，待收件人打開附件時實現(xiàn)安裝，旨在竊取軍事相關(guān)情報.

7) “海蓮花”“蔓靈花”攻擊

根據(jù)CNCERT檢測結(jié)果顯示，2019年“海蓮花”組織利用境外服務器，不斷對我國黨政機關(guān)和重要行業(yè)發(fā)起釣魚郵件攻擊，其中主要利用的漏洞包括Office組件的CVE-2017-8570和CVE-2017-11882等.“蔓靈花”組織在2019年全國“兩會”、新中國成立70周年等重大活動期間，有針對性地對黨政機關(guān)、能源機構(gòu)的數(shù)百個目標發(fā)送了釣魚郵件.

3 釣魚郵件防范措施

釣魚郵件的危害巨大，需要引起高度重視.俗話說“三分技術(shù)，七分管理”，對于公司來說需要做到：

1) 組織員工進行釣魚郵件防范培訓，提高全員網(wǎng)絡空間安全防范意識；

2) 在公司內(nèi)部不定期進行釣魚郵件安全測試，及時發(fā)現(xiàn)問題并采取補救措施；

3) 使用高安全性郵件系統(tǒng)，并及時配置安全過濾機制；

4) 敦促員工安裝殺毒軟件，并及時更新病毒庫.

對于個人來說，需要做到：

1) 認真學習CNCERT發(fā)布的《釣魚郵件攻擊防范指南》[9]，做到“五要”“五不要”，增強安全防范意識；

2) 不要輕信發(fā)件人地址顯示的“顯示名”，遇到索要敏感信息的郵件需要及時通過電話核實；

3) 切忌輕易打開郵件中文中的短鏈接，謹防上當受騙，造成財物損失；

4) 安裝殺毒軟件，郵件附件運行前先進行病毒查殺.