從釣魚信誘餌分析出你應該強化防禦的目標，Palo Alto提出

william77

當企業收到網路釣魚信，除了提醒使用者不要上當，Palo Alto Network公司威脅情報團隊總監Ryan Olson提出新觀點，他認為若能妥善分析釣魚信內容，其實，也有助資安人員找出對方想要鎖定的攻擊目標，進而有效防禦。

鎖定特定目標的魚叉式網路釣魚攻擊（Spear Phishing），手法越來越高明，令人防不勝防，有心人士透過電子郵件夾帶的文件檔案或嵌入的網頁，經過精心設計、量身打造，以假亂真的程度日益提高，一般使用者從裡面的內容，越來越難判斷出是否為他人所假造，以及內藏可植入電腦的惡意後門程式，而產生警覺。
然而，換個角度來看，這些「誘餌（Decoy）」本身的內容因為太過專屬，其實，某種程度，等於暴露了攻擊者所要針對的對象。在台灣駭客年會HITCON Pacific 2016上，Palo Alto Network公司威脅情報團隊總監Ryan Olson，就特別以此為題，暢談若能有效分析這些誘餌檔案的內容，將更能夠識別出對方所要攻擊的目標身分。
首先，所謂的「誘餌」究竟是指什麼？Ryan Olson解釋，在網路釣魚信件當中，除了夾帶經過特製的漏洞利用文件（Exploit Document），使用者一旦開啟透過應用程式開啟這些檔案時，可透過應用程式的漏洞，趁機植入後門木馬程式，而在漏洞利用文件裡面用來博取使用者信任、誤以為正常的門面「檔案」，就是所謂的誘餌文件（Decoy Document），而不同於後門程式與漏洞利用程式。
但過去以來，我們其實很少看到資安廠商特別針對「誘餌」進行研究。Ryan Olson認為，單就誘餌文件而言，其實就能找出誰是即將受到攻擊的目標。例如，根據文件使用的「語言」、文件描述的「主題」、使用者接收到文件的「時間」，以及文件取得的「來源」，可能就足以描繪、歸納出攻擊者所要針對的目標。
Ryan Olson舉了他們收集到的許多網路釣魚信樣本，作為說明範例。
以誘餌文件所用的語言來說，我們能夠推測攻擊者所要誘騙的使用者國籍，以及所在地區範圍，例如裡面是印尼文，可能就是針對該國人民而來。




其次，誘餌文件內容所描述的主題，與攻擊者有興趣或有意參與的行為相關，舉凡搶救太空研究計畫、節慶祝福卡等。




誘餌文件內容與發出的時間，也可能與特定活動舉行有關，舉凡研討會邀請函、電影首映會通知。




至於文件的來源，有些很容易從外部取得，例如透過網際網路的各種公開網站拼湊，有些則是特定組織、部門所專屬的文件格式或表單樣式，若要讓攻擊目標搞不清楚內容真假，而無法察覺異常，進而心生警惕，攻擊發動者則需要把誘餌文件模仿得維妙維肖，才能增高對方上當的機率。






有時候，攻擊者在仿製誘餌文件內容時，也會因為出錯而露出馬腳。Ryan Olson也舉了一個這樣特殊的例子。對方用螢幕擷圖的方式，想要快速產生誘餌文件，卻不小心把開啟的應用程式和作業系統桌面，也一起擷取下來，然後合成到誘餌文件上，而資安分析人員如果收集到這種樣本，就可以推測出攻擊者的國籍、應用程式、甚至建立誘餌的時間。




關於這些誘餌運用的網路釣魚策略，Ryan Olson也舉出近期的實際案例——Lotus Blossom Group黑客集團發動的Operation Lotus Blossom攻擊。根據Palo Alto的Unit 42威脅研究團隊的分析，這個攻擊活動時間長達3年以上，主要目標是東南亞5個國家的政府與軍事單位，發起者可能是由國家資助的團體，而截至目前為止，他們已發起57個攻擊行動。
而Operation Lotus Blossom攻擊當中，所用的後門程式稱為Elise，而所用的誘餌非常多元，針對越南，在Unit 42的報告中列出8種夾檔類型，而對付菲律賓的部份，也有6種誘餌。臺灣也是這個團體的目標，但他們目前並未找到誘餌文件。
最後，Palo Alto未來對於誘餌文件的具體因應作法，Ryan Olson也在大會上揭露。他們打算透過剖析誘餌文件內容的方式，產生出文字雲（Word-Cloud），以突顯特定關鍵字詞，歸納出攻擊者慣用的主題，以及所用的文件。

panups

  

xfzc