社會工程學攻擊之釣魚郵件分析

門嘉平 肖揚文 馬 濤

1(清華大學計算機科學與技術系 北京 100084) 2(國家市場監督管理總局信息中心 北京 100820)

(mjp20@mails.tsinghua.edu.cn)

釣魚郵件是指黑客利用精心設計的高欺騙性郵件，通過偽造發件人信息以獲得收件人信任，誘使收件人對郵件進行直接回復、點擊郵件正文中的惡意鏈接、打開隱藏惡意程序的附件文件等，從而實現非法收集收件人敏感信息、執行惡意代碼等攻擊目的，為下一步攻擊作準備的一種網絡攻擊形式.釣魚郵件操作簡單，欺騙性強，但是危害巨大，具有很強的針對性，可以對運維部門及高管等有價值的目標實施精準攻擊.釣魚郵件是打開內網通道的極佳入口，作為一種普遍的社會工程學攻擊方法，是黑客常用的攻擊手段之一.根據SophosLabs統計數據顯示，在其2020年9月捕獲的所有垃圾郵件中，釣魚郵件的比例高達97%以上[1].2020年4月20日，國家互聯網應急中心(CNCERT)發布的《2019年我國互聯網網絡安全態勢綜述》報告指出，2019年針對黨政機關和關鍵基礎設施等重要單位的APT(advanced persistent threat)攻擊日益猖獗，逐步向軍民融合和“一帶一路”等領域蔓延，尤其在重大活動和敏感時期活動更加頻繁.其中，黑客常用的技術手段就是投遞高誘惑性釣魚郵件，據CNCERT監測顯示，2019年重要黨政機關共收到釣魚郵件高達50萬次以上[2].

因此，有必要對釣魚郵件的攻擊機制進行探討，深刻認識釣魚郵件的極大危害，從而提高對釣魚郵件的防范意識，采取切實可行的防范措施.

1 釣魚郵件攻擊原理

1.1 釣魚郵件目的

黑客一般會通過研究收件人的興趣愛好、社會關系等，通過偽造發件人信息，從而精心構造諸如軟件升級、中獎確認、會議通知、上級命令、薪資調整等高誘惑性郵件標題，從而誘使收件人打開郵件并進行相應操作，最終實現黑客的非法目的.

黑客發起釣魚郵件的目的主要包括以下幾種：

1) 非法獲取收件人敏感信息

黑客通過郵件標題和正文內容，故意營造某種場景，從而引起收件人產生驚喜或恐慌等情緒反應，誘使收件人根據黑客指示，在無意識的情況下泄露個人敏感信息.比如：

① 以系統管理員的口吻發送郵件升級通知，需要收件人填寫個人郵箱名和郵箱密碼進行核對，從而導致收件人個人郵箱賬戶、所有收發郵件及郵件聯系人信息泄露；

② 以活動主辦方的名義發送中獎信息或者重要會議通知，誘使收件人填寫身份證號、手機號、銀行卡號、家庭住址等信息；

③ 以公檢法的名義偽造官方文件，營造恐慌氛圍，壓縮收件人反應時間，促使收件人在短時間內填寫個人敏感信息并發送.

2) 非法獲得收件人錢財

黑客通過構造中獎信息或者直接進行勒索.比如：

① 以活動主辦方的名義發送中獎信息，需要提前支付手續費、信息核對費等，從而導致收件人產生直接經濟損失；

② 誘使收件人點擊郵件正文中惡意鏈接或者運行附件惡意程序，導致系統被加密，需要交付一定數量的贖金(一般以比特幣的形式)；

③ 獲得收件人郵件中的所有內容和附件，尤其是一些個人無法公開的信息或材料，并以此要挾收件人支付贖金.

3) 為下一步攻擊作準備

有經驗的黑客往往會為下一步攻擊作準備，比如權限提升或者對電腦實施遠程控制，從而謀取更大的利益.在大量的APT攻擊案例中，收件人往往不知道自己電腦已經被黑客控制，致使受攻擊程度較重.比如：

① 收件人點擊郵件正文中的惡意鏈接，觸發惡意網站隱藏的木馬或間諜程序，導致個人電腦“被動”受控；

② 收件人打開釣魚郵件附件，運行惡意代碼，“主動”安裝惡意程序，致使黑客可以遠程控制收件人電腦；

③ 黑客直接利用收件人郵箱實施進一步詐騙，比如以收件人名義給出虛假報價，誘使其他買家支付一定數額的預付款，或者以收件人名義進行其他詐騙活動；

④ 黑客申請一個 與收件人類似用戶名和郵箱地址，并實時監控收件人郵箱或者攔截發往原郵箱的所有郵件，伺機獲得錢財.

4) 政治目的

有些黑客發起釣魚郵件攻擊是為了獲得機密信息以營造政治影響，從而達到一定的政治目的.比如：

① 2016年3月美國希拉里競選團隊主席打開偽裝成谷歌公司警告郵件的短鏈接，并根據黑客指示修改密碼，導致其個人郵箱密碼泄露，致使郵箱中所有來往郵件內容及機密文件為黑客獲取并在維基解密公開，從而直接導致希拉里競選的失敗；

② 2020年3月11日，環球網發布消息，據某網絡安全權威人士透露，新冠疫情爆發之后，大量來自臺灣的釣魚郵件利用疫情熱點詞匯作為主題，有針對性地攻擊黨政機關、科研院所、醫療衛生系統等機構，誘導目標人員打開郵件附件，從而達到竊密目的；

③ 2020年12月3日，IBM安全團隊X-Force發布一份報告，稱發現具有政府背景的黑客正瞄準COVID-19疫苗冷鏈，偽裝海爾生物醫藥公司高管給支持疫苗冷鏈的其他高管發送釣魚郵件，試圖誘導收件人打開包含惡意HTML的附件，從而滲透或破壞疫苗供應鏈[3].

1.2 釣魚郵件攻擊方式

1) 郵件正文自身具有欺騙性

這是最簡單直接的攻擊方式，黑客幾乎不需要高深的技術手段，僅利用一般人的心理弱點，直接在郵件正文中通過文字營造一種恐慌或者驚喜的氛圍，偽造中獎通知、單位高管通知、運維部門通知等，從而讓收件人按照發件人要求直接回復郵件或進行相關操作，從而造成收件人個人敏感信息泄露或者財物損失.

比如假冒內部運維通知郵件，以內部系統升級、僵尸賬號清理、賬戶重新驗證等為由，要求收件人輸入賬號、密碼及其他個人詳細信息，致使攻擊者獲得內部權限，或者利用已獲得的信息實施進一步的詐騙.

2) 郵件正文插入惡意鏈接

這種攻擊方式需要一定的技術基礎，黑客在郵件中插入惡意鏈接，等待收件人進行點擊.惡意鏈接可能是一個簡單的惡意程序下載入口，或者是偽造的網頁(比如與已知網站類似但是拼寫略有差別的超鏈接)等.有些黑客對郵件的內容進行精心構造，在郵件正文中混雜官方合法的資源鏈接和惡意的虛假鏈接，從而避開垃圾郵件過濾器的篩選，騙取收件人的信任.

比如德國電影《我是誰：沒有絕對安全的系統》中，黑客組合CLAY通過在垃圾堆中獲得的目標信息，精心構造了包含可愛貓咪圖片的釣魚郵件，德國情報局內部員工點擊了圖片鏈接，從而為CLAT入侵德國情報局網絡提供了入口[4].

3) 郵件附件隱藏惡意程序

這種攻擊方式需要中等技術基礎，是比較常見的一種攻擊方式.尤其如今垃圾郵件過濾不斷升級，黑客更多地會選擇在郵件附件中隱藏木馬，從而實現非法目的.黑客將木馬程序隱藏在郵件附件中，一旦收件人處于無意或好奇打開附件就會運行木馬/病毒程序，導致數據泄露或者其他后果.黑客常用的附件類型有文檔(word,ppt,excel等)、圖片(gif,png等)、壓縮包(zip,rar等)、腳本程序(exe,vbs,bat等)等，而且一般都會使用超長文件名隱藏后綴，從而規避郵箱安全機制的過濾.其中，利用word文檔宏代碼調用powershell執行惡意程序安裝進程比較常見，而zip等壓縮包通常用來對惡意軟件進行“隱身”，從而避開郵件沙箱或殺毒軟件的直接查殺.

比如2019年4月發現的sodinokibi勒索病毒，以稅務、司法等名義發送釣魚郵件，附件名稱為“最高法院文件.doc.exe”“稅務局文件.doc.exe”等，由于系統默認不顯示文件擴展名，收件人雙擊打開看似為doc的可執行文件，快速完成安裝sodinokibi勒索病毒并對收件人電腦中所有文件進行加密，從而勒索巨額贖金[5].

4) 利用操作系統或應用軟件漏洞

這種攻擊方式需要較高的技術基礎，黑客使用郵件作為媒介，利用操作系統或應用軟件(瀏覽器、Office組件、Adobe Reader等)等存在的0-day或N-day漏洞，精心構造攻擊載荷，從而達到攻擊目的.黑客需要對收件人使用的操作系統或應用軟件進行比較精準的識別，攻擊成本較高，但是一旦攻擊成功，黑客獲得收益極大.

比如2017年12月發現的“商貿信“病毒，利用Office遠程代碼執行漏洞(CVE-2017-11882)，偽裝成采購單、對賬單、報價單等文件，收件人不需要任何交互，只要將文件下載并打開，此病毒就將自動從云端下載遠程控制木馬，進而竊取收件人電腦上保存的郵箱、社交賬戶、銀行卡、比特幣等上百種賬號及密碼，而且還會對其他網絡目標發起DDoS攻擊[6].

5) 利用郵件協議自身漏洞

最初的SMTP協議缺乏發件人的身份驗證機制，允許使用構造的發件人信息，這就為不法分子提供了可乘之機.雖然SMTP-AUTH擴展加入了身份認證機制，但是效果仍舊不理想.SPF(sender policy framework)機制有助于過濾絕大部分垃圾郵件(包括釣魚郵件)，但是如果郵箱沒有設置SPF，那么利用Kali Linux系統自帶的swaks工具就可以很容易地向目標收件人寄送偽造的釣魚郵件，而且Kali Linux系統自帶的萬能爆破工具hydra可以輕松實現對常見郵件協議的爆破.

比如2017年德國研究員Haddouche發現高達33個郵箱客戶端中存在MailSploit 漏洞，可以讓任意用戶偽造發件人身份發送郵件.2020年發現的OpenBSD SMTP漏洞，攻擊者可以在存在漏洞的OpenSMTPD上執行任意的Shell命令.

2 釣魚郵件與APT攻擊

APT攻擊，完整名稱為高級持續性威脅，指針對特定對象進行的持久而隱秘的攻擊活動，綜合運用社會工程學和多個漏洞實施攻擊，通常具有較強的隱蔽性，一般會長期駐留在目標系統中.而釣魚郵件是APT成功實施的關鍵因素之一.下面簡單舉一些實例：

1) RSA SecurID竊取攻擊

2011年3月，RSA公司部分職工收到標題為“2011 Recruitment Plan”的釣魚郵件，并附有名為“2011Recruitment Plan.xls”的附件，內含Adobe Flash的0day漏洞(CVE-2011-0609)的利用程序.RSA公司郵件過濾機制已自動將其歸為垃圾郵件，但其中一位職工將其從垃圾郵件中恢復并打開附件閱讀，導致該主機被植入遠程控制工具，并致使其他與之連接的服務器被黑客植入惡意程序.最終若干SecurID技術及敏感客戶資料被黑客竊取，直接導致使用SecurID作為認證憑證構建VPN的公司(比如洛克希德·馬丁公司、諾斯羅普公司等)遭受黑客入侵，重要技術資料遭到竊取[7].

2) 暗鼠攻擊

2011年8月，McAfee/Symantec公司發現了此種攻擊.黑客構造一些具有誘惑性且帶有附件(內含漏洞利用程序)的郵件發送給特定人員，以公司人力部門的名義通知收件人更新組織通訊錄，或者以財務部門的名義請其審核某個真實存在的項目預算等等，當收件人打開xls格式附件，木馬程序就可以利用Excel程序遠程代碼執行漏洞而實現安裝.然后，借助木馬程序，黑客可以與收件人主機建立遠程Shell連接從而實現遠程控制.

3) Nitro攻擊

2011年10月，Symantec報告了針對化工企業進行竊取資料的Nitro攻擊.首先目標企業的職工收到高誘惑性釣魚郵件，閱讀郵件時打開偽裝成文檔的惡意可執行程序，導致主機被植入Poison Ivy后門程序；或者黑客將可執行程序放入壓縮文件中，誘使收件人解壓并執行其中的可執行文件，從而實現后門程序的安裝.Poison Ivy對80端口進行加密通信，上傳收件人賬號等相關信息，并不斷在公司內部網絡搜集更多的敏感信息.

4) Luckycat攻擊

2012年3月，TrendMicro報告了針對印度和日本的能源、軍隊、航天等單位的Luckycat攻擊.此次攻擊起始于釣魚郵件，標題大多與福島核電站輻射(2011年3月福島核電站由于地震發生泄漏事故)相關，郵件附件包含CVE-2010-3333，CVE-2010-2883，CVE-2010-3654，CVE-2011-0611，CVE-2011-2462等針對pdf/rtf的漏洞利用程序.黑客一旦成功滲透進內網就會發起C&C遠程控制，竊取各類敏感信息.

5) 烏克蘭電網攻擊

2015年12月23日，烏克蘭電網遭受黑客攻擊，導致烏克蘭一半地區發生斷電事故.黑客首先發送釣魚郵件，其中包含BlackEnergy3木馬載荷的附件.電力公司的職工一旦打開附件，將植入BlackEnergy3木馬，致使黑客獲得電力公司工控網絡的登錄權限，直接關閉斷路器導致電力供應中斷.然后BlackEnergy3下載惡意組件KillDisk并啟動，刪除重要日志文件和MBR記錄，實施系統破壞[8].

6) “豐收行動”攻擊

2016年7月，東巽科技2046Lab發現并報告了“豐收行動”APT攻擊.此攻擊將木馬可執行程序偽裝成word文檔，其中包含CVE-2015-1641(Word類型混淆漏洞)漏洞利用程序.以釣魚郵件的方式發送給目標人員，待收件人打開附件時實現安裝，旨在竊取軍事相關情報.

7) “海蓮花”“蔓靈花”攻擊

根據CNCERT檢測結果顯示，2019年“海蓮花”組織利用境外服務器，不斷對我國黨政機關和重要行業發起釣魚郵件攻擊，其中主要利用的漏洞包括Office組件的CVE-2017-8570和CVE-2017-11882等.“蔓靈花”組織在2019年全國“兩會”、新中國成立70周年等重大活動期間，有針對性地對黨政機關、能源機構的數百個目標發送了釣魚郵件.

3 釣魚郵件防范措施

釣魚郵件的危害巨大，需要引起高度重視.俗話說“三分技術，七分管理”，對于公司來說需要做到：

1) 組織員工進行釣魚郵件防范培訓，提高全員網絡空間安全防范意識；

2) 在公司內部不定期進行釣魚郵件安全測試，及時發現問題并采取補救措施；

3) 使用高安全性郵件系統，并及時配置安全過濾機制；

4) 敦促員工安裝殺毒軟件，并及時更新病毒庫.

對于個人來說，需要做到：

1) 認真學習CNCERT發布的《釣魚郵件攻擊防范指南》[9]，做到“五要”“五不要”，增強安全防范意識；

2) 不要輕信發件人地址顯示的“顯示名”，遇到索要敏感信息的郵件需要及時通過電話核實；

3) 切忌輕易打開郵件中文中的短鏈接，謹防上當受騙，造成財物損失；

4) 安裝殺毒軟件，郵件附件運行前先進行病毒查殺.