安恒信息安全服务|钓鱼邮件主流攻击方式 发布时间:2020-07-16 16:18:00 来源:


观察近年来各大APT组织的攻击过程,钓鱼邮件成了一种常用的手法,它是一个绝佳的打开内网通道的入口点,邮件可以携带文字、图片、网址、附件等多种信息媒介,结合社工手段可以对未经训练的人群进行“降维打击”,而且钓鱼邮件还可以做到很强的针对性,对于运维部门、企业高管等较高价值目标还可以做到精准打击。

 

钓鱼邮件丰富多彩多种多样,但是主流的攻击方式大概可以分为以下几种:

 

(一)  邮件正文插入恶意链接

这是一种最基础的攻击方式,就是在邮件正文中放入一个恶意诱导链接,等待用户进行点击,链接后面是一个伪造的网站,可能是一个恶意程序下载链接或者一个用于伪造的登录入口等。

钓鱼邮件攻击入口

诚然这种攻击方式比较老套了,时至今日大家基本的办公安全意识也都提高了,邮箱里面直接插入链接都不会轻易点击。
 

但是道高一尺魔高一丈,攻击者会利用一些近期一些热点事件或者公司内部信息如疫情、产品介绍、系统账号升级等,以提高内容可信度,诱导用户点击链接。而恶意链接部分也进行伪装,常见伪造方式如下:

1、短链接:http://suo.im/5MTrPR

2、使用html标签伪造隐藏:<a href=" https://www.dbappsecurity.com.cn/"> 点击查看详情

</a>

更猥琐的有:

<a href=" https://www.baidu.com/"> https://www.dbappsecurity.com.cn/

</a>

绑定html事件如onclick onmousedown

3、近似URL:

https://www.dbapsecurity.com.cn/

https://www.dbappsecurtiy.com.cn/

4、子域名:

http://www.dbapsecurity.abc.com.cn/

近似子域名:

http://oa-dbappsecurity.com.cn/

5、利用url特性,如

https://www.dbappsecurity.com.cn@baidu.com/

试试看以上这么多例子,你可能会被哪个中招?

 

(二)  邮件附件藏毒

此类也是常见的一种,攻击者的payload含在邮件附件里,载体有直接的文档、图片、压缩包、脚本程序(exe、vbs、bat)等。

钓鱼邮件攻击方式分布

直接发送脚本程序诚然是最直接的,但是容易被邮箱安全机制拦截或者人员识破,但攻击者会使用一些伪装手段,如使用超长文件名隐藏后缀等。
 

根据ASRC 2019 年邮件安全趋势回顾中提到的,最常用来攻击的办公文件为Word文件,其次为Excel文件。此类恶意文档简单的是利用宏代码调用powershell进行命令执行,高级的直接利用office等客户端软件漏洞。而ZIP压缩格式较常被用来夹带恶意文件,用于躲避邮件沙箱或者安全杀软的直接查杀。

文件查杀类型2019年与2018年对比

屡试不爽的 Office 文件漏洞,一直是攻击者爱用的武器之一。除了作业人员、防病毒软件对文档的警觉性较低外,许多人所使用的 Office 不会经常性更新。除了公司预算的问题外,原本就使用了非正版Windows,或担心兼容性、使用上的适应性,以及缺乏漏洞修补的概念,都是使用者不愿更新的原因。

 

(三)  利用软件漏洞攻击

此类做法主要是使用邮件进行投递攻击武器,武器本身利用了邮箱、客户端软件如浏览器、office、系统等本身的漏洞,此类攻击需要配合操作系统/浏览器的 0day 或者 Nday,而且需要对攻击者使用的终端应用软件进行比较精准的识别,因此攻击成本较高,但是最终的效果还是很不错的,如利用邮箱的xss漏洞获取了大量员工邮箱账户cookie信息。

 

其他常见利用的漏洞有windows系统漏洞、office漏洞、Winrar目录穿越等。

 

(四)  利用邮件协议漏洞攻击

主要利用了邮箱本身安全设置问题,若邮箱地址没有设置spf,那么就会有人假冒真实域名发送邮件。

不知道SPF是什么,请参考:

https://www.jianshu.com/p/b3460757d260

 

·邮件伪造

使用swaks可以非常简单的向目标投送伪造的钓鱼邮件。

邮件伪造

常见参数说明:

-from <要显示的发件人邮箱>

--ehlo <伪造的邮件ehlo头>

--body <邮件正文>

--header <邮件头信息,subject为邮件标题>

--data <源邮件>

邮件结果说明

·邮件协议爆破

使用万能爆破工具hydra可以对常见邮件协议进行爆破。

Pop3认证协议爆破:

hydra -l admin -P pass.txt my.pop3.mail pop3

IMAP认证协议爆破:

hydra-L user.txt -p secret 192.168.0.132 imap PLAIN

hydra-Cdefaults.txt-6imap://[fe80::2c:31ff:fe12:ac11]:143/PLAIN


 

(五)  邮件发件人身份“伪造”

这里面伪造笔者使用了引号,为什么呢?这个伪造可能是使用真实的发件人邮箱身份,如攻击者通过一些方式窃取了一些真实可信的邮箱身份。
 

当然还有一些曲线救国的方式,如果通过邮箱直接攻击B单位人员无法成功,那么攻击B单位的上级单位或者有较强业务往来的A单位人员邮箱,然后利用B对A的可信度,伪造邮件向其索要一些敏感信息或者要求安装一些异常软件等。实际的对抗中听过某攻击队通过此方式直接获得了目标单位全员信息(姓名、电话、邮箱、住址)。

欢迎点击了解更多专业安全服务,等你来翻牌!!!

分享到: