FIN4的高級網絡釣魚攻擊證明了什么?
責編:admin |2014-12-12 13:23:58網絡釣魚是一種常見攻擊方法,對此,企業信息安全團隊一直在教育用戶關于打開可疑電子郵件和附件的危害。
現在的網絡釣魚攻擊者非常善于創建極具吸引力的誘餌,專家稱單靠教育用戶已經無法阻止這種最復雜的網絡釣魚攻擊。
案例分析:本周高級威脅檢測供應商FireEye揭露了一個攻擊者團伙FIN4,該團伙自2013年中以來已經攻擊超過100家企業。根據FireEye的報告顯示,FIN4主要專注于攻擊高級用戶的賬戶信息,這些用戶知道企業兼并重組、重大消息和其他尚未發生的重要事件,他們的潛在目標是利用竊取的信息來在股市上獲得豐厚的利潤。
新的復雜網絡釣魚攻擊
雖然對于攻擊者來說,特別是那些由民族國家支持的攻擊者,瞄準正在進行并購交易的企業是很常見的事情,而FIN4與眾不同之處在于該組織用來繞過企業安全措施時使用的網絡釣魚誘餌非常復雜。其一,FIN4的網絡釣魚郵件顯現出英語國家居民水平的英語語言命令,這是大多數其他網絡釣魚郵件所缺少的方面。
FIN4還能夠使用針對性的語言來瞄準特定組織或者個人,增加誘出所需回復的可能性。例如,FireEye報告記錄了該團伙的網絡釣魚活動被模擬為舉報人式的電子郵件,告知企業高管有員工涉嫌泄露私有業務事宜到網上。
威脅情報反釣魚供應商PhishLabs主管Don Jackson稱,FIN4執行中涉及的細節是典型的頂級“捕鯨”攻擊,即企業個人被指控涉嫌魚叉式釣魚攻擊,因為他們持有價值信息或者在企業內具有影響力。
Jackson表示,FIN4攻擊者費了很多力氣來確保他們的網絡釣魚計劃中使用的誘餌會讓特定目標感興趣。在某些情況下,他指出該團伙只是簡單地利用合法文檔,在其中插入了惡意Visual Basic for Application(VBA)宏來搜集賬戶信息,使得更容易欺騙不知情的最終用戶。
“FIN4攻擊者表現出很多的制度能力,他們了解在他們試圖滲透的環境中人員和系統如何交互的術語和流程、經驗,并明白有針對性資產的特定價值,”Jackson表示,“如果目標的價值如實,我們會看到誘餌是完美和經得起考驗的。”
發給企業高管的FIN4網絡釣魚電子郵件
FIN4并不是唯一的高級網絡釣魚者
雖然FIN4使用的網絡釣魚手段毫無疑問很復雜,但Jackson也警告企業,他們并不是利用這種手段的唯一攻擊者。
例如,Jackson表示最近的US-CERT公告介紹了在最近的網絡釣魚活動中所使用的Dyre/Dyreza銀行惡意軟件。US-CERT稱,這些釣魚攻擊針對不同的個人使用了不同的誘餌,包括換出附件、有效載荷和主體,不過釣魚者特別喜歡利用惡意PDF附件來瞄準過時版本的Adobe Reader軟件。
Dyre惡意軟件本身不僅能夠收集賬戶信息,還可以監控企業網絡流量和繞過Web瀏覽器中的SSL機制。相較于Dyre和高級網絡釣魚攻擊中常見的遠程訪問木馬程序,Jackson表示,FIN4利用的VBA宏實際上相當簡陋,并可能導致該團伙被檢測。
“FIN4電子郵件的水平讓我想起Dyre背后的攻擊者針對一些大型金融機構和投資公司所使用的電子郵件,”Jackson表示,“最近攻擊者通過電子郵件進行的電匯發票詐騙也顯現了類似的針對性和偵察水平。這些攻擊者也具有顯著的制度能力,但沒有表現出于FIN4攻擊相同的執行技巧。”
抵御高級釣魚攻擊
對于企業應該如何防御這種高級網絡釣魚攻擊,Jackson稱,反釣魚措施也逐漸成為一種“智力游戲”, FIN4和其他攻擊團伙顯示的多樣化功能、操作復雜性和決心,都意味著企業不能只靠用戶教育來抵御攻擊。
Jackson表示,企業應該收集FireEye在其報告中提到的誘騙郵件和攻擊指標的數據,并可以對這些數據進行分析以確定攻擊者如何執行攻擊、是否使用惡意軟件以及哪些軟件被瞄準。
“這樣一來,企業就可以調整風險管理和安全態勢,而有針對性的個人也可以得到提前警告,”Jackson表示,“還可以了解威脅攻擊者的足夠信息,以更有效地應對威脅。”