【技术分享】2017网络钓鱼趋势和情报报告---攻击人类(下)

http://p1.qhimg.com/t01f119468f7c081b3d.jpg

翻译:pwn_361

预估稿费:200RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

摘要

2016年网络钓鱼威胁景观发生了巨大变化,这是由两个变革事件导致的。在2015年针对中国的网络钓鱼攻击数量几乎翻倍后,到了2016年,针对中国的钓鱼攻击下降了48%。在五个最有针对性的行业中,网络钓鱼数量平均增长超过33%。有23%的网络钓鱼攻击针对的是金融机构,22.6%的网络钓鱼攻击针对的是云存储服务行业。针对游戏行业的攻击量同比急剧减少了75%,针对社交网络网站的钓鱼攻击下降了17%。80%的钓鱼网站托管在10个国家,然而,在美国的占到了59%。2016年,超过51%的钓鱼网站使用了“.com”顶级域名。网站身份认证方法使用邮箱作为登录用户名的结果是:很多用户在不同的网站中使用了相同的邮箱和密码,因此由撞库攻击带来的破坏性在不断增大。现代勒索软件在感染它们的目标上很成功,这有很多原因,不过最重要的原因是它们使用的传播方法利用了一个最薄弱环节—人类。到目前为止,勒索软件最普遍的传播方式是网络钓鱼邮件。

5.攻击发生在哪里?

与往年一致,2016年,美国机构仍然是网络钓鱼攻击迄今为止最受欢迎的目标。在美国,钓鱼者的首选目标是实体,和其它国家相比,针对美国组织的网络钓鱼攻击份额在持续增长。在2014年,71%的网络钓鱼攻击针对美国的机构。到了2016年,份额已经增长到81%。并且在这三年期间,以美国为目标的网络钓鱼攻击总量增加了一倍。

http://p3.qhimg.com/t01b9c0542fdb403a01.png

针对加拿大的网络钓鱼攻击总量在2016年增长了237%。有趣的是,针对加拿大的攻击总量并没有在某一个月出现一个异常的攻击高峰,而是持续上升到2016年三月份,并在此后一直保持在高水平的位置。这次增长主要归因于针对加拿大金融机构的攻击在2016年增长了444%。一年的持续性增长趋势表明,加拿大金融机构已经成为钓鱼者更具吸引力的目标。如下图所示:

http://p3.qhimg.com/t0181f8b546a59d4bd7.png

观察到针对少数国家机构的网络钓鱼活动显著下降。在2015年针对中国的网络钓鱼攻击数量几乎翻倍后,到了2016年,针对中国的钓鱼攻击下降了48%。针对英国实体的网络钓鱼攻击近年来迅速下降,2014年下降了38%,2016年下降了23%。

最近观察到的最有趣的变化之一是针对南非公司的大规模网络钓鱼攻击数量有所下降,在2014年,南非商业是钓鱼攻击的第六个最受欢迎的目标。过去两年,针对该国的网络钓鱼攻击数量减少了90%。在网络钓鱼总量中排在了全世界第22位。

http://p1.qhimg.com/t0106432c44730c431e.png

6.如何进行网络钓鱼攻击?

本报告在这节中,将主要分析和洞察开展网络钓鱼攻击所利用的策略、技术、和过程。这些基本组件是我们在调查和减缓网络钓鱼攻击的过程中发现的。通过识别、分析、和关闭这些组件,我们让钓鱼者进行攻击、收集偷取信息、和获利更加困难。

网络钓鱼服务器托管地址

59%的网络钓鱼网站托管在美国。和2015年相比,托管在东欧的钓鱼网站数量急剧增长,托管在东亚的有所下降。

大多数钓鱼网络托管在被攻击的WEB托管服务器上。在2016年,80%的钓鱼网站的托管地只有10个国家,托管在美国的就有59%。紧随美国之后,最常见的托管钓鱼基础设施是德国(4%)、英国(4%)、荷兰(3%)、俄罗斯(3%)。如下图所示:

http://p5.qhimg.com/t010d586ac9248005ea.png

托管在东欧的钓鱼网站数量急剧增长。2016年很多在这个地区的国家托管的钓鱼服务器是2015年的两倍,包括拉脱维亚(+360%)、塞尔维亚(+152%)、波兰(+123%)、立陶宛(+116%)、保加利亚(+112%)、捷克共和国(+111%)、俄罗斯(+110%)。很多其它的国家也有显著上升,包括巴拿马(+657%)、意大利(+98%)、荷兰(+88%)、澳大利亚(+86%)、印度尼西亚(+83%)。

和东欧的增长情况相反,值得注意的是托管在很多东亚国家的钓鱼网站有所减少。这些国家和地区包括台湾(-43%)、香港(-38%)、韩国(-34%)、日本(-30%)。我们看到2016年托管在中国的钓鱼网站实际上有一个净增长,不过下半年托管在中国的钓鱼网站和上半年的相比减少了50%,整体来看处于净增长。其他托管钓鱼网站数量减少的国家包括智利(-50%)、印度(- 33%)、土耳其(-24%)、南非(-23%)。

钓鱼网站使用的顶级域名(TLDs)

不出所料,2016年超过51%的钓鱼网站托管在注册的“.com”顶级域名上,这个比例和2015年的基本相同。

http://p1.qhimg.com/t01e49130395d1fde58.png

除了“.com”域名,钓鱼网站最常用的顶级域名还有.br,.net,.org,.ru,.uk,.au,.info,.in,和.pl。以这10个顶级域名相关的钓鱼网站占到了总量的四分之三。

因为绝大多数钓鱼网站都位于被钓鱼者攻破的(肉鸡)域名上,而不是恶意注册的域名。

http://p7.qhimg.com/t01f41ad622a9a6c4e4.png

在2016年,我们识别出钓鱼网站托管在432个不同的顶级域名上,与2015年观察到的280个顶级域名相比有显著增长。这种增长的主要原因似乎是钓鱼者开始将更多的钓鱼网站托管在最近创建的通用顶级域名上(gTLDs)。这些新的通用顶级域名是由ICANN在2011推出的一个最新的通用顶级域名扩展计划批准的。去年,在220个新gTLDs上发现了钓鱼网站的内容,和2015年托管在gTLDs上的钓鱼网站数量(66)相比,2016年的数量多了三倍。最常用的gTLDs是.TOP,.XYZ,.ONLINE,.CLUB,.WEBSITE,.LINK,.SPACE,.SITE,.WIN和.SUPPORT。 

http://p2.qhimg.com/t01fc74bbeaf5aedbc5.png

尽管使用新gTLDs域名的钓鱼网站仅有2%,但是托管在新gTLDs域名上的钓鱼网站总体上增长了1000%,证据表明,钓鱼者在构建他们的钓鱼计划时,新gTLDs域名已经开始成为更受欢迎的选择。

http://p2.qhimg.com/t0179eaffe720ca6124.png

有几个原因导致了新gTLDs域名在钓鱼生态系统中获得了吸引力。一是注册一些新gTLDs域名很便宜,对那些想对他们钓鱼基础设施有更多控制权,不想将钓鱼网站架设在一个被攻破的WEB服务器上的钓鱼者,这种方法的成本较低。其次,钓鱼者可以利用一些新开发的gTLDs域名建立网站,并使用诱惑性的字符串,在潜在的受害者看来可能更合理。例如,在2016年,已经发现在下面的域名中托管了各种钓鱼内容:

http://p3.qhimg.com/t01e55ecfbea5cdb876.png

一目了然,每一个出现的这个网站,对于一个不知情的受害者,都包含了看似合法的、有用的字符串。在过去,当钓鱼者注册一个域名用于将钓鱼内容托管在上面时,他们通常在域名的名称中包含了与目标相关联的内容,这给网站增加了一个合法性的光环。现在,使用新gTLDs域名,钓鱼者有了诱骗受害者的另一种选择。

在识别可能存在的针对公司或行业的钓鱼活动时,分析它的顶级域名是一个有用的工具,特别是当观察到一个很少和钓鱼网站有关的TLD域名,突然出现了钓鱼攻击了高峰时。从分析的角度看,需要注意的是,使用这种技术识别出的所有域名都是恶意注册的域名,而不是通过钓鱼主体攻破的域名。因此,当识别出一个攻击高峰时,收集的域名注册人信息是一个有价值的情报。

下面列出这些TLD高峰,包括:

1.2016年秋天,一个使用了“.link”域名的钓鱼网站攻击了美国技术公司,导致了一次TLD高峰。

2.2016年夏天,在一次活动中,使用了“.ga”域名的钓鱼网站针对主要支付服务公司的攻击急剧上升。

3.2016年6月,使用了“.hu”顶级域名的钓鱼网站,在对多个webmail提供商的攻击活动中制造了一次攻击高峰。

4.2016年4月,一个针对一家大型美国金融机构的攻击高峰和使用了“.ng”顶级域名的钓鱼网站有关。

5.2016年8月至9月,使用了“cloud”顶级域名的钓鱼网站,制造了对一个美国云服务提供商的大规模攻击活动,并且在此后和这个域名有关的攻击活动很少被观察到。

6.2016年7月至8月,使用了“gq”顶级域名的钓鱼网站和一个针对德国支付服务公司的攻击高峰是有关系的。

如下图所示:

http://p4.qhimg.com/t01189d6f3da8462793.png

网络钓鱼工具包

网络钓鱼工具包是文件的集合,通常包含在归档文件中,如一个ZIP文件,它包含了所有用于创建一个钓鱼网站所需的组件(HTML/PHP页面模板、脚本、图片等等)。在2016年,我们收集到了超过29000个独立的网络钓鱼工具包,它们包含了创建钓鱼网站的组件,并针对超过300个不同的公司。

因为从本质上讲,工具包是大多数骗子创建网络钓鱼网站的“配方”。通过广泛收集和分析网络钓鱼工具包,我们能更深入理解钓鱼者进行诈骗所用的技术。通过分析这些工具包,我们可以识别出任何可能会部署的反检测机制,因此,我们可以更好地制定对策,以防止这些反检测机制能成功绕过检测。通过手工分析和动态分析,我们可以将工具包关联到由它创建的个别钓鱼网站上,并且能更好的了解到钓鱼者使用了哪些主要工具包。我们可以识别出这些工具包的传播机制(社交媒体、文件托管网站、地下论坛、供应商网站等),并通过关闭传播点,来阻断工具包的支持链。

钓鱼者为了防止他们的钓鱼网站被探测和关闭,有时会尝试使用不同的技术来限制对他们网站的访问。这其中的一种方法是钓鱼者利用某种类型的访问控制技术来尝试阻止不需要的访问者,根据特定的规则来阻止对网站的访问,如根据IP地址、用户代理字符串、主机名、或HTTP referrer。通常,这些访问控制是以PHP脚本的HTACCESS文件或黑名单的形式存在的。虽然比较罕见,但我们还是观察到网络钓鱼工具包利用访问白名单,而不是根据确定的特点来阻止访问者,从而只允许复合特定标准的人访问该网站。这种白名单机制通常用于针对一个特定区域或国家的攻击,它可以根据IP地址位置来过滤访问者。

2016年,在我们分析的工具包中,42%使用了HTACCESS文件,17%使用了PHP黑名单来限制访问。为更全面的控制一个钓鱼网站的访问者,41%的工具包结合了HTACCESS文件和PHP黑名单机制。如下图所示:

http://p3.qhimg.com/t01d49695dce949e3e7.png

另一种钓鱼者使用的试图逃避检测的技术是动态改变每个钓鱼网站访问者的URL,使基于浏览器的阻止(大概)不那么有效。网络钓鱼工具包有两种主要的技术用于尝试逃避基于浏览器的探测:目录生成和随机URL参数。

http://p2.qhimg.com/t01ccf25118afda60c0.png

2016年,在我们分析的网络钓鱼工具包中,14%包含用于在钓鱼网页URL的末端产生随机参数的脚本。这种方法和目录生成类似,每次加载的钓鱼页面URL结果都不一样。虽然URL参数具有合法用途,他们在钓鱼网站使用的目的通常是良性的(虽然已经发现一些复杂的工具包,会为钓鱼网站加载特定参数)。使用该技术的目的与目录生成器相同,然而,它们之间最大的区别是不用在服务器上创建或复制新文件。

http://p2.qhimg.com/t01616d1c7ae41c0fcc.png

在网络钓鱼生态系统中有一个有趣的一面,有很多威胁主体从事攻击活动,但是只有一少部分钓鱼者有足够成熟的水平,并能从头开始写出钓鱼工具包。因为这个原因,工具包作者可以通过将工具包传播给水平低的用户,并以此来获利。工具包作者在钓鱼生态系统中赚钱的方法有两种:一种是出售工具包,一种是传播免费的带有后门的工具包。销售工具包的地方一般是地下论坛、卖主网站、或暗网市场。大多数工具包的价格在1美元到50美元之间,依据是目标和工具包的成熟度。然而,有些工具包捆绑了其他功能,如活动追踪控制面板,并可以出售数百美元。这是钓鱼工具包作者最简单和最直接的赚钱方式。但实际情况是工具包不是免费的,因此花钱买工具包的人可能很有限。

这就是为什么越来越多的钓鱼工具包作者选择将他们的工具免费传播给潜在的用户。这些工具包有时会在地下黑客论坛中循环,但是也有许多是通过社交媒体和免费文件托管网站公开传播的。

使用免费商业模式时,工具包作者通常会在他们的工具包中捆绑后门,该后门除了将钓鱼信息发送给工具包用户包,还可以将所有从攻击活动中得到的数据发送到工具包作者控制的设备上。这些后门通常会混淆在工具包中,通常情况下,水平低的工具包用户是无法察觉到的。因此,除了直接出售工具包来获利,还可以通过免费传播工具包,然后通过捆绑的后门秘密收集工具包用户的个人信息和金融信息,并通过出售这些信息来赚钱。


四、勒索软件的爆发

2015年末到2016年初的恶意软件趋势表示勒索软件正在到处流行。在2016年第一季度结束之前,分析家和行业内的人将这种趋势称作“勒索软件年”。一年快速过去,这个词变成了“老生常谈”,当然这也没错。毫无疑问,2016将会被人们铭记,因为在这一年里,勒索软件在恶意软件领域变成了最普遍的和最有利可图的威胁。

尽管勒索软件作为一个威胁在信息领域已经存在几十年,今年由勒索软件的恶意天性产生的震动,引起了外界对IT安全行业的关注。大量媒体每天都在报道有关企业已经变成了勒索软件的猎物,及由此产生的影响和为此付出的代价。消费者也没能幸免。由此产生的效应是,全世界的广大用户已经认识到“勒索软件”一词是指软件,只不过这个软件会限制对一个计算机的访问,并向受害人要求赎金,用于恢复访问权。当然,这个简单的意识并不等于有能力阻止勒索软件的感染,在恶意软件作者和恶意行为主体的努力下,勒索软件在继续增长。

http://p9.qhimg.com/t011585c566d6a8dbb2.png

1.勒索软件为什么会如些流行?

勒索软件在攻击者中流行是由多种原因造成的,包括盈利能力、简易性和可行性。获取利益是产生网络犯罪最大的原因。2016年初,勒索活动的成功,被媒体的不断报道放大了。导致了其它的网络罪犯远离了各种各样其它的冒险,并将手申向了勒索软件。勒索软件的简易性使得这种改变更加容易。

勒索软件允许攻击者使用一个配置攻击所有目标用户。它也允许立即将感染货币化–不需要出售凭据、不需要欺诈处理、不需要进一步的初会工程学。通过将加密数字货币引入主流经济的方法,使攻击者在匿名的情况下赚钱成为了可能。对于勒索软件攻击者,他们以前冒着暴露的危险,需要依赖信用卡或预付款卡,现在有一个可靠的并且匿名的方法来收取大量赎金。多个结合的因素导使了勒索软件日益流行。

http://p9.qhimg.com/t010825020badc29050.png

2.谁是参与者?

在过去几年里,参与创建和传播勒索软件的人显著扩大。已经建立的勒索软件家族继续释放更强的进化、更精致的版本,如Cryptolocker和Cryptowall勒索软件。这些知名的勒索软件家族催生了希望充分利用前人成功的新变种、模仿者、相似者。可能最好的例子就是Locky,它是2016年最成功的一个勒索软件家族,该勒索软件和Dridex银行木马的作者是有关系的。

在这一年,我们观察到勒索软件即服务模型在不断扩张。类似于Cerber和Petya/Mischa的勒索软件允许技术水平一般的攻击者通过制作恶意软件参与到勒索软件趋势中,并提供分销、与会员分割利润。在某些情况下,大量类似于这些缺乏技术的参与者也加入了编写自己恶意软件的行列中,导致了劣质勒索软件的灾难,因为这些劣质勒索软件往往比预期更具破坏性。过去一年勒索软件的全面成功鼓励和刺激了威胁主体瞄准了广泛的消费者和商业目标。

3.谁是被攻击的目标?

过去一年,勒索软件最有趣的一个趋势是其成熟的目标计划,越是成功的勒索软件家族越是这样。以前,勒索软件的传播大多采用广播攻击方法,攻击者试图最可能多的捕获受害者。这种策略和2016年初很多勒索软件家族的传播策略是相同的。随着一年的过去,勒索软件的攻击目标发生了转变,慢慢的远离了个人消费者,因为这些人很少愿意支付赎金恢复文件。

相反,勒索软件活动慢慢的开始向有针对性的鱼叉式网络钓鱼活动进化,专注于小型企业、学校、政府机构、关键基础设施和医疗设施。有几个因素使这些组织成为首要目标。一他们有高价值的数据,数据可用性是这些组织最重要的日常工作,在很多情况下,他们愿意支付赎金用于立即恢复访问。二他们通常会为IT人员提供一些预算,并且没有足够的准备用于保护他们的IP资产,或响应一起事件。最后,这些组织经常受规章制度约束,从而使他们创建或存储备份的能力复杂化。在这种情况下,支付赎金可能是恢复加密数据唯一的方法。

http://p3.qhimg.com/t017090b9047fe878a3.png

4.为什么勒索软件会成功?

现代勒索软件在感染它们的目标上很成功,这有很多原因。也许最重要的原因是它们使用的传播方法利用了一个最薄弱环节—人类。到目前为止,勒索软件最普遍的传播方式是网络钓鱼邮件。粗心的用户会陷入社会工程策略、浏览恶意网址、下载恶意文件、并执行恶意程序。

其他感染载体包括利用工具包、恶意广告、偷渡式下载、和扫描网络脆弱的软件。这些方法仍然依赖人类未能保持软件更新或利用未知/不受信任的软件。

http://p6.qhimg.com/t01ba483b7fbfff5ae1.png

除了传播方法,勒索软件的成功还依赖于它使用了强大的加密算法和完善的密钥管理。高质量的现代勒索软件样本会利用成熟的加密算法,并会将解密密钥存储在只有攻击者才能访问到的安全位置,由此来降低安全专家对样本采用逆向工程的机会,或降低受害人没支付就解密的机会。

http://p9.qhimg.com/t01222be5ec19047991.png

最后,成功的勒索软件是功能健全的,并且在收集赎金后能兑现解密文件的承诺。如果支付不能导致解密,当消息传播后,恶意行为参与者将会知道他们的感染将无法货币化。

http://p7.qhimg.com/t01e9cac09c884ed616.png

就感染量而言,现代勒索软件是非常有效的,但是就财产转化率而言,它并不是很有效。仅仅一小部分受感染的用户会支付他们要求的赎金。对于许多人,数据丢失已成为生活的事实,以前经历过数据丢失,他们会跨过勒索软件的感染,并从头开始。其他人是因为对购买加密数字货币和跟进付款太陌生或不舒服。还有一些人是因为觉得有义务避免为犯罪集团提供资金。尽管财产转化率比较低,但是被感染用户的支付数量已经足以使勒索软件在未来的岁月里成为一个永远有吸引力的攻击向量。

5.勒索软件的未来

勒索软件流行了一年后,下一步是什么?一些已经开始发展的趋势有助于回答这个问题。尽管大部分勒索软件针对的是Windows用户,但是一些勒索软件作者已经开始创建针对其它平台的样本。这种趋势可能会继续,并伴随着更复杂的OSX、Linux、服务器操作系统、和手机平台恶意软件的产生。

http://p1.qhimg.com/t0104f1dcb73c9886ea.png

此外,勒索软件参与者可能会攻击物联网设备,最近的非勒索攻击已经证明了在这个领域存在显著的脆弱性。攻击者除了扩大勒索软件针对的目标平台,可能还会寻求扩大勒索软件的功能。赎金消息早已包含在公开披露的威胁中,但是最近,勒索软件样本包含了数据渗漏功能,从而允许这种威胁采取更多行动。过去一年中观察到的样本正在吸纳计算机成为僵尸网络,并窃取比特币钱包、故意破坏数据、收获电子邮件地址和登录凭据。根据勒索软件目标的进化,勒索软件作者还将继续扩展其功能。如前所述,攻击者将某些商业和行业作为勒索软件攻击的主要目标,但随着时间的推移,目前勒索软件正在瞄准的目标组织将会增强他们的抵抗力。然而,这不会是勒索的末日。攻击者将会通过他们的成功策略,继续寻找那些具有高价值数据,但又同时存在弱信息安全态势的组织和行业,这将确保有针对性的勒索攻击继续扩散。

http://p6.qhimg.com/t01c624d4d861e22a47.png


五、结论

2016年,网络钓鱼威胁景观以深刻的方式改变了航向,打破历史趋势,并描绘出了一个未来的道路,这条道路和我们以前所预期的有本质的不同。考虑到由这两个变革事件带来了严重的网络犯罪结果,这一年因此变得更加引人注目。

云服务、SaaS、和其它在线服务提供商已经广泛采用了用邮箱代替唯一用户名的友好做法。这种做法使网络钓鱼攻击更容易收集到邮箱/密码凭据对。威胁主体抓住这次机会,并在前所未有的范围内收获了大量凭据对。广泛采用这种身份认证的做法触发了一个涟漪效应,而这将改变整个网络犯罪生态系统,在未来的几年我们都会感受到。

尽管勒索软件已经存在了几十年,但是加密数字货币的出现,将它从新奇事件变成了全民公敌。当然,这是一个合理的预期,因为加密数字货币给犯罪份子提供了一个机会,它给网络犯罪份子提供了一个真正匿名且有合法货币价值的全球在线货币。然而,没有预料到的是,它导致了一个新的、更精简的网络犯罪商业模型,这个商业模型从以前的偷取有价值的数据,变成了直接从受害人那收集加密数字货币赎金。这种商业模型使勒索软件迅速站到了恶意软件景观的顶端,并将在以后的多年里继续塑造网络犯罪世界。

本报告中展现出的趋势和信息,能帮助安全领导人、从业人员和其它社区人员呈现出由这两个事件带来的影响,及2016年我们观察到的很多其它的变化。尽管这些趋势会继续变化,但是它对我们理解网络钓鱼攻击仍然会持续流行和有效很重要。网络钓鱼是攻击的主要方法,不论它的目的是偷取凭据还是传播勒索软件。为了在今天的威胁景观中存活,组织必须将防御网络钓鱼攻击放在首位。

(完)