信息化觀察網(wǎng)

黑客正在使用一種我稱之為“深海網(wǎng)絡(luò)釣魚”的方法提升他們的攻擊水平，即結(jié)合使用下面我將提到的一些技術(shù)來使自己變得更具攻擊性。為了跟上步伐，網(wǎng)絡(luò)安全創(chuàng)新者一直在努力開發(fā)工具、技術(shù)和資源來提高防御能力。但是，組織如何才能應(yīng)對尚未啟動甚至尚未構(gòu)想出來的不斷演變的威脅呢？

例如，今年2月，10,000名Microsoft用戶成為網(wǎng)絡(luò)釣魚活動的目標(biāo)，該活動發(fā)送聲稱來自FedEx、DHL Express和其他快遞公司的電子郵件，其中包含指向托管在合法域上的網(wǎng)絡(luò)釣魚頁面的鏈接，目的是獲取收件人的工作電子郵件憑據(jù)。使用合法域名可以使電子郵件逃避安全過濾，而人們因疫情而對快遞服務(wù)以及相關(guān)信息的依賴提高了釣魚活動的成功率。

今年5月，攻擊者發(fā)起了大規(guī)模、復(fù)雜的以支付為主題的網(wǎng)絡(luò)釣魚活動。網(wǎng)絡(luò)釣魚電子郵件敦促用戶打開附加的“付款建議”——實際上，這根本不是附件，而是一個包含指向惡意域鏈接的圖像。打開后，基于Java的STRRAT惡意軟件被下載到端點上，并通過命令和控制（C2）服務(wù)器連接運(yùn)行后門功能，例如從瀏覽器收集密碼、運(yùn)行遠(yuǎn)程命令和PowerShell、記錄擊鍵和其他犯罪活動。

網(wǎng)絡(luò)釣魚也不再是一直在地下醞釀的小規(guī)模網(wǎng)絡(luò)騷擾。如今，近70%的網(wǎng)絡(luò)攻擊（如上所述）是由有組織的犯罪或與民族國家有關(guān)聯(lián)的行為者精心策劃的。隨著許多recovery tab達(dá)到數(shù)百萬，組織需要一個解決方案來保護(hù)他們免受尚未設(shè)計的攻擊，即可能造成最大損害的0day攻擊。

但是在我們解決防御問題之前，讓我們首先看看我們要防御的對象。下面提到的網(wǎng)絡(luò)釣魚策略的類型按復(fù)雜程度的升序排列出。

網(wǎng)絡(luò)釣魚的類型

并非所有網(wǎng)絡(luò)釣魚攻擊所造成的損害都是相同的，但所有網(wǎng)絡(luò)釣魚攻擊都將在設(shè)計上對組織造成損害，可能涉及巨額財務(wù)支出、補(bǔ)救成本、收入損失和聲譽(yù)受損。攻擊范圍從典型的網(wǎng)絡(luò)釣魚電子郵件到復(fù)雜的魚叉式網(wǎng)絡(luò)釣魚計劃和“捕鯨”。

?釣魚郵件

普通的網(wǎng)絡(luò)釣魚活動中，網(wǎng)絡(luò)釣魚者向一大群收件人發(fā)送電子郵件，他們有充分理由期望收件人中的一小部分人會點擊。網(wǎng)絡(luò)釣魚電子郵件通常設(shè)計為看起來像是來自受信任公司的官方消息。然而，當(dāng)收件人點擊電子郵件中嵌入的看似無害的鏈接時，惡意軟件可能會直接下載到他們的設(shè)備上，或者打開惡意網(wǎng)頁，下載惡意軟件或要求輸入憑據(jù)、帳號或其他有價值的數(shù)據(jù)等個人信息.

?魚叉式網(wǎng)絡(luò)釣魚電子郵件

與廣泛撒網(wǎng)的網(wǎng)絡(luò)釣魚不同，魚叉式網(wǎng)絡(luò)釣魚電子郵件具有高度針對性，針對特定的個人或組織。網(wǎng)絡(luò)犯罪分子使用社交媒體和其他公共信息為特定個人創(chuàng)建個性化電子郵件，并偽裝成受信任的發(fā)件人。

例如，在4月，5億個LinkedIn帳戶的個人信息從社交媒體平臺上被抓取和泄露，并作為魚叉式網(wǎng)絡(luò)釣魚攻擊的誘餌出售。由于魚叉式網(wǎng)絡(luò)釣魚電子郵件是個性化的，因此收件人更有可能點擊其中的惡意鏈接，甚至在登錄頁面上輸入憑據(jù)。

?捕鯨

捕鯨是魚叉式網(wǎng)絡(luò)釣魚的一種形式，其目標(biāo)是首席執(zhí)行官和首席財務(wù)官等知名人士，以獲取高度敏感的個人或業(yè)務(wù)數(shù)據(jù)。“發(fā)件人”可能偽裝成業(yè)務(wù)伙伴、客戶或有關(guān)鍵業(yè)務(wù)問題需要目標(biāo)個人解決的人。捕鯨電子郵件的主要目標(biāo)是竊取敏感的商業(yè)信息。

魚叉式網(wǎng)絡(luò)釣魚和捕鯨與一般網(wǎng)絡(luò)釣魚攻擊的不同之處在于使用個人和專業(yè)數(shù)據(jù)，在接收者眼中建立更高的合法性。它們是每個人都需要防范的一種成功率很高的網(wǎng)絡(luò)釣魚形式。

網(wǎng)絡(luò)犯罪分子的成功主要還是歸因于個人

更復(fù)雜的網(wǎng)絡(luò)釣魚攻擊需要更多的開發(fā)時間和精力，投資會以更大的預(yù)期得到回報，尤其是在惡意軟件分層時。這些方法對犯罪分子仍然有效：事實上，根據(jù)對全球MSP的調(diào)查，67%的受訪者表示網(wǎng)絡(luò)釣魚電子郵件是勒索軟件攻擊最常見的傳遞渠道。

許多公司要求員工定期接受反網(wǎng)絡(luò)釣魚培訓(xùn)，但是員工培訓(xùn)并不足以保護(hù)組織，因為人是網(wǎng)絡(luò)安全鏈中最薄弱的環(huán)節(jié)。人是容易上當(dāng)受騙的、習(xí)慣驅(qū)動的生物，我們很容易就會點擊危害組織整個網(wǎng)絡(luò)的鏈接。

Verizon的2021年數(shù)據(jù)泄露調(diào)查報告（DBIR）的最高發(fā)現(xiàn)指出，85%的泄露涉及人為因素，36%涉及網(wǎng)絡(luò)釣魚（比上一年增加11%），10%的泄露涉及勒索軟件——是前一年的兩倍年。

勒索軟件-網(wǎng)絡(luò)釣魚鏈接

各種規(guī)模的組織都應(yīng)該考慮勒索軟件攻擊（通常始于網(wǎng)絡(luò)釣魚）會對他們的績效、財務(wù)穩(wěn)定性和未來產(chǎn)生什么影響。更重要的是，他們應(yīng)該評估他們的網(wǎng)絡(luò)安全策略和安全架構(gòu)。

據(jù)SonicWall稱，自2019年以來，勒索軟件攻擊增加了62%。

這種沖擊包括小型企業(yè)。估計有一半的網(wǎng)絡(luò)攻擊都針對這一群體，他們可能沒有與大型組織相同的網(wǎng)絡(luò)釣魚意識培訓(xùn)。由此產(chǎn)生的收入損失和補(bǔ)救成本、停機(jī)時間、聲譽(yù)損害和法律費用對小型企業(yè)來說都是巨大的打擊。

勒索軟件在不停發(fā)展……

新的發(fā)展使勒索軟件更具威脅性。根據(jù)FBI的說法，Ryuk是目前勒索金額最高的軟件?，F(xiàn)在，它還添加了類似蠕蟲的功能，這使得它不再依賴于人為點擊來傳播。這是一個重大的令人擔(dān)憂的情況。

考慮一下：初始感染僅在幾秒鐘內(nèi)發(fā)生。當(dāng)用戶單擊網(wǎng)絡(luò)釣魚電子郵件中的鏈接時啟動的勒索軟件會迅速開始在整個網(wǎng)絡(luò)中橫向傳播，對PC和服務(wù)器進(jìn)行加密，從而最大限度地造成損害-并為瞄準(zhǔn)您組織的網(wǎng)絡(luò)犯罪分子帶來最大利潤。

然后勒索軟件會讀取受感染的文件，搜索用戶憑據(jù)，使其能夠通過網(wǎng)絡(luò)計算機(jī)或映射驅(qū)動器之間的遠(yuǎn)程桌面連接更快地傳播。在云上備份數(shù)據(jù)雖然是一種很好的做法，但未必就完全足夠。

復(fù)雜的勒索軟件可以將共享網(wǎng)絡(luò)驅(qū)動器和云備份服務(wù)上的文件作為目標(biāo)，從而使您的整個組織陷入癱瘓，讓您受到網(wǎng)絡(luò)犯罪分子的肆意擺布。

勒索軟件的影響也可能遠(yuǎn)遠(yuǎn)超出業(yè)務(wù)本身。例如，5月份對Colonial Pipeline（一家擁有900名員工的公司）的勒索軟件攻擊導(dǎo)致5,500英里長的管道關(guān)閉，而這些管道輸送著美國東海岸45%的燃料供應(yīng)。迫于為依賴管道提供燃料的數(shù)千萬人和組織恢復(fù)服務(wù)的壓力（包括醫(yī)療服務(wù)、執(zhí)法機(jī)構(gòu)、消防部門、機(jī)場和廣大公眾），該公司不得不支付440萬美元的贖金。

人的行為是很難改變的

一封電子郵件只需要在一個易受攻擊的時刻命中，其誘餌就會引誘收到它的員工，讓該人點擊網(wǎng)絡(luò)釣魚電子郵件中看似合法的鏈接來下載受感染的文件。面對當(dāng)今的0day威脅和高級惡意軟件，需要比基于簽名的掃描技術(shù)和查找已知惡意域更強(qiáng)大的防御。

組織不能依賴其用戶作為抵御網(wǎng)絡(luò)釣魚的最后一道防線。畢竟，用戶漏洞是網(wǎng)絡(luò)釣魚如此有效和被廣泛使用的原因。也不要責(zé)怪您的員工：網(wǎng)絡(luò)犯罪分子是人類行為研究和利用方面最為最老練的專家。

防御選項：遠(yuǎn)程瀏覽器隔離

出于種種原因，必須考慮一種非常不同的方法，即假定漏洞存在時防止暴露于惡意軟件和勒索軟件的方法。隨著網(wǎng)絡(luò)釣魚攻擊變得越來越多層次和多方面，很難說下一個網(wǎng)絡(luò)犯罪的新方法將是什么，因此面向未來的觀念變得很重要。

遠(yuǎn)程瀏覽器隔離（RBI）為組織提供了防御，即使是最復(fù)雜的基于Web的攻擊。當(dāng)用戶單擊電子郵件中的鏈接或打開新的瀏覽器選項卡時，RBI會在位于云中遠(yuǎn)程隔離容器中的虛擬瀏覽器中執(zhí)行Web內(nèi)容。只有安全的渲染數(shù)據(jù)才會發(fā)送到用戶的常規(guī)端點瀏覽器，從而提供完全交互式的常規(guī)瀏覽體驗。沒有Web內(nèi)容到達(dá)用戶設(shè)備，并且可以以只讀模式打開具有潛在風(fēng)險的站點以防止憑據(jù)被盜，因此用戶可以100%免受惡意網(wǎng)站和網(wǎng)絡(luò)釣魚電子郵件中URL的惡意軟件攻擊。

網(wǎng)絡(luò)釣魚不僅存在，而且每天都在變得越來越先進(jìn)和危險。接受人類易犯錯誤和容易被操縱的這一點至關(guān)重要，因此組織不應(yīng)當(dāng)將重點放在培訓(xùn)上，而是要選擇有效保護(hù)組織免受網(wǎng)絡(luò)犯罪分子影響的解決方案。使用RBI來隔離用戶并使他們與惡意電子郵件鏈接和網(wǎng)絡(luò)釣魚站點的危險“隔絕”，是一種很好的方法，組織可以采用這種方法來使自己遠(yuǎn)離網(wǎng)絡(luò)釣魚。

本文翻譯自：https://threatpost.com/hackers-deep-sea-phishing/174868/