2017網絡釣魚趨勢和情報報告
責編:admin |2017-02-27 10:29:59一、介紹
歡迎閱讀2017網絡釣魚趨勢和情報報告。本報告的目的不僅在于提供洞察威脅主體開展網絡釣魚攻擊的重大趨勢、工具、和使用的技術,同時也提供背景和觀點來說明這些變化為什么會發生。
今天的網絡釣魚威脅景觀和2016年剛開始的相比有驚人的不同,有兩個變革的事件導致了預期的釣魚威脅景觀和情形發生了根本性的巨變。
第一個變革事件是根本性的,就是釣魚攻擊者的攻擊目標發生了變化,這主要有兩個因素,一是攻擊者的動機在不斷變化,二是因為目標身份認證方式從唯一用戶名演化成廣泛接受的郵件地址(以前,網站或系統身份認證時通常采用“用戶名+密碼”的方式,現在很多網站或系統已經采用了“郵箱+密碼”的方式,這種變化帶來了很大問題)。
2016年第二個變革事件是勒索軟件的快速增加,并很快變成了公共瘟疫。大范圍的網絡釣魚將繼續是傳播勒索最有效的方法。
這份報告提供了這些事件的第一手和深入的觀點,以及其他直接來源于PhishLabs的關于對抗釣魚攻擊和釣魚攻擊背后威脅主體的觀點。本報告中強調的趨勢將有助于企業更好地評估現代釣魚攻擊的風險,并且我們希望這個詳細的調查結果能更好的用于減緩那些風險。
PhishLabs R.A.I.D(研究、分析、和情報部門)由一些世界上最受尊敬的威脅研究人員組成,并撰寫了這篇報告。PhishLabs有專門用于對抗釣魚攻擊的業務和技術系統,這篇報告中包含的信息和觀點就是以此為基礎的。
下面是我們報告的基礎數據:
1.我們在2016年分析了近一百萬個惡意釣魚網站。
2.這些網站使用了超過170000個唯一域名(比2015年多23%)。
3.我們每個月調查并減少了超過7800次釣魚攻擊,確定了這些攻擊中使用的基礎架構,并關閉它們。
4.我們分析了來源于100多個勒索軟件的變種和20多個銀行木馬的數千個獨特的惡意軟件樣本。
5.領先的金融機構、社交媒體網站、醫療保健公司、零售商、保險公司和技術公司都使用了我們的服務,用于對抗網絡釣魚威脅。
6.從2008年,我們就一直在對抗網絡釣魚攻擊。
二、概述
網絡釣魚是網絡攻擊的最大威脅向量。威脅主體以組織和個人的資產為目標時。網絡攻擊最有吸引力和最成功的方法仍然是利用人類的弱點。
2017網絡釣魚趨勢和情報報告在網絡釣魚攻擊和洞察這些攻擊使用的技術方面,提供了趨勢上的分析。它試圖澄清誰在被攻擊,并給出他們為什么被攻擊的理由。閱讀此報告的人將更好地了解網絡釣魚威脅,并更好的具備保護自己的能力。
2017網絡釣魚趨勢和情報報告的重要結論是:
1.云存儲網站可能會超越金融機構成為被釣魚攻擊最多的目標,這標志著釣魚者在目標選擇過程上發生了變化。
2.身份認證方法從唯一用戶名變成了廣泛接受的郵件地址,這個變化被嚴重利用,攻擊者收獲了大量憑據后,瞄準大量在線服務,通過憑據重用和其他方法進行二次攻擊。
3.我們識別出了擁有170000個唯一域名的釣魚網絡,比上年增加了23%。
4.在五個最有針對性的行業中,網絡釣魚數量平均增長超過33%。
5.自2014年以來,針對政府稅務機關的攻擊增長超過300%。
6.2016年1月針對IRS的釣魚攻擊出現巨大增長(IRS網絡釣魚是騙子們冒充國稅局給你發一封電子郵件,聲稱你逾期退稅或你有稅務問題,要求你點擊郵件中的連接以便到IRS的網站上去澄清問題),比2015年全年的都多。
7.與前幾年有所差別,由于全球主要事件的影響,如英國退歐,網絡釣魚數量在年中達到高峰。
8.全球釣魚攻擊瞄準美國實體的份額增長至超過81%。
9.對加拿大機構的攻擊增長了237%,幅度超過其他任何國家。
10.59%的釣魚網站托管在美國,托管在東歐的釣魚網站數量有顯著增加。
11.在2016年,超過一半的釣魚網站使用了“.com”頂級域名,新的通用頂級域名正在成為網絡釣魚更受歡迎的選擇,因為它們便宜,并且可以被用于創建令人相信的釣魚網站域名。
12.收集了超過29000個釣魚工具,超過三分之一使用了逃避檢測的技術。
13.勒索軟件是網絡釣魚傳播的主要類型的惡意軟件,正聚焦在那些更可能支付贖金的組織,如醫療保健、政府、關鍵基礎設施、教育和小型企業。
三、釣魚攻擊景觀的變化
雖然它總是變化,2016年,我們觀察到釣魚威脅景觀的基本動態發生了顯著的改變。這些變化正在深刻地改變釣魚威脅景觀,這將影響組織很多年。本節回顧了這些觀察到的變化,并詳細對它們進行研究探討。
1.研究方法
在2016年,PhishLabs分析了近一百萬個確定的惡意釣魚網站,它們托管在超過170000個獨立域名上,使用了超過66000個獨立IP,本節詳細的調查結果就是以些為基礎得到的。在本報告的語境中,我們定義釣魚“攻擊”是指一個域名托管了網絡釣魚環境,網絡釣魚的“份額”是指某類攻擊在整個攻擊總量中所占的百分比,而“量”是指原始的、累積的攻擊次數。在后面的文章中,請大家注意,有些行業遭受網絡釣魚攻擊的量在增長,但是在所有行業遭受網絡釣魚攻擊中所占的份額有可能在降低,這一點大家應該能理解。
2.如何進行網絡釣魚
通常,釣魚者首先要攻下一個有漏洞的網站,或注冊一個惡意的域名,然后釣魚者將釣魚環境托管在這些主機中,他們上傳了一些壓縮文件,包含所有創建一個釣魚網站所需的東西,也被稱為“網絡釣魚工具包”。通過分析這些工具包,我們能更好地了解到網絡釣魚者的策略和技巧,因為這些工具包含了發展一個成功網絡釣魚所用到的“配方”。對這些工具包進行逆向工程,可以幫助我們了解到它們的設計方案,從而,我們可以更好的識別出個別釣魚網站。
除了包含一個釣魚網站的基本單元外,這些工具包也包含用于給釣魚者發送信息的腳本,這些信息是釣魚攻擊活動收集到的信息,這些信息通常會被發送到釣魚者設置的臨時郵件賬戶中,我們也看到,有時候這些信息也會被發送到詐騙者控制的另一個域名下,或甚至通過類似于XMPP的即時通訊協議發送。
3.誰是被攻擊的目標
2016年,在五個最有針對性的行業中,網絡釣魚數量平均增長超過33%。到2017年年底,云存儲網站有可能會取代金融機構的位置,成功被釣魚攻擊最多的目標,這個歷史趨勢的巨大轉變,暗示著釣魚者從他們的攻擊獲得了更多的利潤。除了從金融賬戶尋找直接利潤,釣魚者采用了更多間接的賺錢方法。以前很多網站在登錄認證時使用的是用戶名和密碼的方式,而目前很多網站已經使用了郵件地址和密碼的方式。釣魚者利用了這個現在被廣泛使用的身份認證做法,通過向使用了此認證機制的流行在線服務發動釣魚攻擊,釣魚者大規模收獲了電子郵件地址/口令憑據對,攻擊者可以使用它們攻擊次要目標(通常通過口令重用攻擊,也就是撞庫攻擊)。
在2016年,我們確定了568個母機構(私有公司、政府機構、學校等等)的976個品牌,它們成為了以消費者為中心的釣魚攻擊的目標。這是從2015年開始增長的,那時釣魚攻擊針對了559個母機構的895個品牌。到了2016年,有166個實體在以前不是釣魚攻擊的目標,相反的是,155個機構在2015是攻擊的目標,但是到了2016年,不再是被攻擊的目標了。
2016年,超過91%的釣魚攻擊以五個行業為主要目標:金融機構、云存儲/托管服務器、基于萬維網的電子郵件服務/在線服務、支付服務、和電子商務企業。在這五個行業中,2016年網絡釣魚數量平均增長超過33%。
金融機構是釣魚者由來已久的選擇,在2016年它仍然是最受歡迎的攻擊目標,雖然在2016年,該行業的釣魚攻擊總數有輕微增長,但針對該行業的網絡釣魚攻擊份額在近年來大幅下降。在2013年,針對金融機構的攻擊占所有釣魚攻擊的三分之一以上,這個數字現在已經下降到僅占全球網絡釣魚總量的四分之一。
可以看到針對金融機構的攻擊份額下降了,而針對其他行業的攻擊份額在大幅增加。這種趨勢在云存儲服務行業最為明顯。在2013年,針對云存儲行業的攻擊少于10%,但是到了2016年。該行業的份額和金融機構的份額相比只少了一點點(22.6%比23%)。如果這種趨勢還將繼續,那么在2017年我們會看到云存儲行業的份額可能會高于金融行業,成為被攻擊最多的行業。值得注意的是,網絡釣魚攻擊對云存儲服務行業的影響幾乎只針對兩家公司:Google(Google Drive/Docs)和Dropbox。
下圖顯示的是份額在下降的兩個行業:
另一個在網絡釣魚攻擊量上存在特殊增長的行業是軟件即服務(SaaS)。在整個2015年,幾乎看不到對這個行業的網絡釣魚攻擊,但是在2015年后,針對這個行業的攻擊量在2016年增長了近兩倍。盡管在2016年針對該行業的攻擊量只占到總量的2.1%,但是有可能這個數據在未來會繼續增加,以該行業為目標的攻擊會更加頻繁。和云存儲行業類似,軟件即服務行業中的釣魚攻擊幾乎只針對兩家公司:Adobe和DocuSign。
前五個最有針對性的行業中,在最近四年中,只有基于萬維網的電子郵件服務/在線服務行業受到的網絡釣魚攻擊份額在持續增長。在這一時期,它從2013年的11%,持續增長到2016年的21%。
針對支付服務公司和電子商務網站的攻擊量在2015年都有所下降,但是到了2016年,和2015年相比,又有了明顯增加。2015年針對支付服務公司的攻擊次數下降超過28%,是在攻擊總量上唯一出現下降的行業。然而,在2016年,針對支付服務公司的攻擊量又有所反彈,攻擊量增長了80%,現在針對它的攻擊量在總攻擊量中占14%,然而,這遠遠低于2013年26%的份額,當時針對該行業的攻擊量和其它行業的相比,該行業排在第二位。針對電子商務公司的攻擊和2015年相比增長了44%,現在的份額占11%。
盡管2016年在大多數行業中,都看到了網絡釣魚攻擊次數的增長,但是在少數行業中,攻擊量又有所減少。如游戲行業,在2013年到2015年里都看到了穩定的增長,但是在2016年,針對該行業的攻擊量急劇減少了75%,減少的比任何行業者都多。針對社交網絡網站的網絡釣魚攻擊在2015年有大量增長,但2016年和2015年相比,該行業遭受網絡釣魚攻擊的次數下降了17%。
針對政府服務網絡的釣魚攻擊在2016年也急劇增加。這種增長幾乎完全由于對政府稅收征管機構的網絡釣魚攻擊在激增。自2014年,針對這些機構的攻擊在份額上增長了300%。很明顯,釣魚者發現它們是非常有吸引力的目標。幾乎所有針對政府稅收征管機構的網絡釣魚攻擊都發生在四個國家:加拿大(加拿大稅務局)、法國(公共財政總局)、英國(英國稅務海關總署)、美國(國內稅務局)。
但是,產生這些變化的原因是什么呢?
因為一個根本性的變化在整體釣魚威脅景觀中正在發生。這個變化是:網絡釣魚威脅主體正在發展他們的戰術,從而使他們的工作變得更容易,并將好用的功能內置到許多網站中。通過改變它們的目標和技術,釣魚者有了一些變化:
1.更有效率的收集憑據。
2.專注于收集更廣泛的信息,可以用來促進其他類型的犯罪。
3.轉變的更間接,但可能更有利可圖。
出現這個變化的主要原因是,在很多網站中都存在一個同樣的弱點(賬號密碼重用導致的弱點),包括幾乎所有的云存儲服務和SaaS公司,我們已經看到以這些服務為目標的攻擊正在大幅增長。這些服務允許它們的用戶通過身份認證進入各自的賬戶,并且使用了郵箱和密碼進行認證,代替了以前使用的用戶名和密碼的方式。這種方式帶來的問題是它們的很多用戶會簡單的重復使用他們的郵箱和密碼,而不是為每一個賬戶重新創建一個郵箱和密碼對。
是什么驅動釣魚者以他們為目標呢?
最近的趨勢表明,網絡釣魚威脅主體先前公認的動機從根本上改變了。現在,釣魚者選擇目標時有三個主要動機:
1.立即接管賬戶—-釣魚者可以偷取賬戶中的錢,或在地下市場中出售這些賬號。
2.憑據增值—-釣魚者可以利用這些通用賬號(例如.郵箱賬號)在更大的范圍內發動撞庫攻擊。
3.數據多樣化—-釣魚者收集受害者的綜合信息,這些信息可以利用到其它犯罪活動中,如身份盜竊、稅收欺詐、或是在地下經濟中出售這些信息來賺錢。
在釣魚生態系統中,使用郵件地址作為一個賬戶的登錄憑據是易被攻擊的一個最大弱點。通過利用這個身份認證機制,云存儲服務和SaaS網站給網絡犯罪創造了一個巨大機會。通過以這些網站為目標,網絡犯罪分子可以很容易地收獲到用戶的所有電子郵件服務憑據。這比分別攻擊每一個郵件提供者更有效,它使網絡犯罪有效的回避了潛在的反釣魚措施。
除了讓釣魚者的工作更高效,通過組合大量郵件地址和密碼,去攻擊其它使用了相同賬號或密碼的網站(撞庫攻擊),可以有效的擴大惡意活動范圍。
釣魚景觀中的這項進化也反應出了一個心態上的變化,釣魚者使用他們收集信息是為了經濟獲益。根據以往的經驗,當釣魚者攻擊了金融機構的客戶后,他們通常會立即使用獲得的憑據進入受害者的賬戶,并偷走受害者的錢。盡管針對金融機構的攻擊維持在一個持續的水平,但是在2016年,釣魚景觀的特征是針對憑據的攻擊呈爆發式增長,并且這些憑據通常不能立即獲利。
隨著最近在策略上的轉變,釣魚者可能會以一種更為間接的方法從被盜的憑據中賺錢。有兩種基本方法可以使他們做到這一點。第一種方法是使用撞庫攻擊金融賬戶,并偷走錢。威脅主體利用這種技術,并通過接管多個不安全的賬戶,可以獲得一個讓收入更加多元化的機會。第二種方式法是在地下論壇和暗網市場中出售大量收獲的憑據,這是2016年媒體的熱門話題,盡管這個市場目前已經趨于飽和,但是這些大量憑據現在還是能賣到50到1000美元不等。
值得注意的是,這意味著許多釣魚者的真正的目標可能不是云存儲和SaaS泄露的賬戶,這些賬戶可能只是一個龐大計劃的中間環節。
從過去的經驗看,網絡釣魚攻擊的主要目標信息是憑據和個人基礎數據,但是最近的攻擊趨勢表明釣魚者現在對個人、金融、就業、和賬戶安全信息都有更廣泛的關注。在釣魚攻擊時,釣魚者為了獲得信息,會欺騙受害者,并迫使受害人輸入更多需要的信息用于“驗證”或“恢復”他們的在線賬戶,這是釣魚者誘騙受害人時最常見的誘惑方法。
為什么釣魚者會關注這么廣泛的信息呢?一個可能的原因是在將來的網絡釣魚和賬戶接管活動中更能有利可圖。例如,越來越多的釣魚網站在收集賬戶安全信息,如常見的挑戰/應答組合和母親的娘家姓,這些信息可用于在密碼重用攻擊期間繞過驗證機制。受攻擊更頻繁的另一個信息是受害者的電話號碼,不僅可以知道受害人的電話號碼,并被用于繞過雙重因素的身份驗證,還可以利用電話號碼通過短信方式實施短信釣魚攻擊,這種方式正在迅速成為一個更受歡迎的攻擊向量(通常被稱為短信詐騙)。
值得注意的是,釣魚網站收集的大量信息可以被輕易的用于各種其他犯罪目的,如身份盜竊。金融信息是釣魚者最喜歡的目標之一,它可以被用于信用卡詐騙犯罪。2016年針對稅務機構的網絡釣魚攻擊呈爆炸式增長,這也表明,釣魚者將從釣魚攻擊中得到的信息用到了報稅詐騙中。
2016年初最大的一個網絡安全事件是網絡釣魚攻擊了美國國內稅務局(IRS)。數量相當大,2016年1月份觀察到的針對IRS的釣魚網站比2015年全年的都多。我們觀察到釣魚攻擊不僅針對納稅人,還包含納稅專家(為他人準備納稅申報的人)。對于大多數IRS釣魚攻擊詐騙,偷取納稅人的信息是主要目的。這種攻擊形式很多,但是通常攻擊者會提交一個看似合法的欺詐性報稅表,從而收集受害人的任何個人的、金融的、和就業的相關信息。
這些信息包括個人識別信息(PII)、申報情況、雇主的信息、和收入等。有些釣魚網站甚至會進一步收集受害人的配偶和家屬信息、電子檔案的PIN細節、和完整的W2數據。
在2016年。釣魚者使用了很多策略來誘騙受害提交他們的個人和金融信息。對于IRS釣魚主題,欺詐納稅人最常用的方法是聲稱受害人需要更新或核實他們的信息,以便于納稅申報成功得到處理。
針對稅務專家的詐騙通常采用的方法是偽裝成IRS電子服務門戶網站的一個報稅登錄認證頁面,以獲取電子服務憑據。IRS電子服務允許納稅專家索取電子客戶記錄和提交客戶申報單。在2016年早期,針對電子服務憑據的網絡釣魚攻擊非常流行,以至于IRS向準備納稅的人發送了一個警告,提醒可能存在的詐騙。
下面是一個電子服務網站釣魚頁面:
盡管針對報稅的攻擊活動總量并不是很多,但是這些攻擊造成的損失可能會很大。同時,雖然我們在2016年觀察到了針對IRS的一個網絡釣魚攻擊活動高峰,但是我們的分析表明,這些用于制造IRS攻擊的工具包可能是由一個相對較少的個體完成的。和針對其它行業的釣魚攻擊相比,大部分IRS欺騙都不太復雜。即使如此,我們也觀察到有一些釣魚者使用了先進的功能,以提高他們釣魚網站的真實性,并限制某些訪問者訪問這些網站。鑒于這這種釣魚攻擊在2016年很成功,因此,在2017年初,我們很有可能會看到這類釣魚攻擊活動的小高峰。
4.攻擊什么時候發生?
在2016年,釣魚攻擊活動總量的高峰出現在年中,第四季度有所回落。這和前幾年有所差別,前幾年是攻擊量隨著時間在穩步上升,直到年底出現攻擊高峰。2016年年中高峰可能是因為釣魚者利用了一些主要的全球事件(如英國退歐),以及被攻擊的虛擬Web服務器數量異常激增。
在2013年到2015年期間,貫穿全年的網絡釣魚攻擊趨勢遵循一個持續的和可預測的模式。在近三年,網絡釣魚攻擊通常會始終增加,并在第四季度節日期間達到高峰。但是這不是2016年的情況,2016年的攻擊高峰出現在年中。此外,2016年12月觀察到的網絡釣魚攻擊數量是近兩年中最低的。
這偏離了歷史模型,主要因為以下兩個因素:
1.釣魚者利用了歷史性的全球事件。
2.針對Web服務器的攻擊數量激增。
英國退歐效應
正如我們這些年觀察到的,釣魚者會利用實時事件、重大事件、或全球危機來攻擊潛在的受害人。因此,在節日期間,網絡釣魚攻擊活動通常會激增,這利用了消費者在每年的這段時間內對接收到某些公司通信的預期。通常,在這段時間,當攻擊者使用和上下文相關的誘惑策略時,網絡釣魚攻擊會更容易成功,因為目標人群習慣于接收相同類型的合理郵件。
就像釣魚者希望在一定的時間段去利用人們的自滿情緒,他們同樣會嘗試利用因重大事件給受害人造成的焦慮和害怕。對英國公投脫歐的不確定和焦慮,導致了今年中期一些有針對性的釣魚活動大幅增加。當察看針對英國機構的釣魚攻擊時,從網絡釣魚總量能清楚的看出英國脫歐是這次網絡釣魚攻擊激增的原因。整體來看,2016年針對英國的攻擊總量和2015年相比,減少了23%,但是2016年五月和六月份,由于公投的影響,針對英國機構的攻擊出現了一個高峰。這些激增的攻擊主要集中在支付服務公司和政府機構。這兩個月網絡釣魚攻擊的平均量是其它月份平均量的一倍以上。到七月份,英國脫歐公投結束之后,針對英國實體的網絡釣魚攻擊數量暴跌。
上圖是2016年每個月針對英國的網絡釣魚攻擊數量。
針對共享虛擬WEB服務器的攻擊激增
另一個導致年中網絡釣魚攻擊數量激增的因素是沒有預想到的,這就是針對共享WEB虛擬服務器的攻擊大幅增加。然而這種技術并不是新的,近年來它的使用并不廣泛。在2016年,我們觀察到超過300個事件涉及到淪陷的虛擬Web服務器,并影響到超過14000個域名。這代表了全年網絡釣魚攻擊量的10%。這些攻擊的三分之一發生在兩個月內,五月和六月,這兩個月的攻擊影響了8000個域名。
盡管全年的網絡釣魚趨勢和前幾年有所不同,但是大部分特定行業的趨勢還是保持了歷史上的相似性。我們看到針對電子商務網站、社交網站和SaaS公司的釣魚活動隨著時間的推移在持續的增加。相反,隨著2016年的結束,我們看到了針對云存儲網站、金融機構和政府服務的網絡釣魚攻擊在減少。這些發現支持這一假設:盡管金融機構和云存儲網站是兩個最常見的目標行業,但是釣魚者也會在重要的時期選擇攻擊其它行業(如節日期間的電子商務網站),使成功的可能性最大化。
5.攻擊發生在哪里?
與往年一致,2016年,美國機構仍然是網絡釣魚攻擊迄今為止最受歡迎的目標。在美國,釣魚者的首選目標是實體,和其它國家相比,針對美國組織的網絡釣魚攻擊份額在持續增長。在2014年,71%的網絡釣魚攻擊針對美國的機構。到了2016年,份額已經增長到81%。并且在這三年期間,以美國為目標的網絡釣魚攻擊總量增加了一倍。
針對加拿大的網絡釣魚攻擊總量在2016年增長了237%。有趣的是,針對加拿大的攻擊總量并沒有在某一個月出現一個異常的攻擊高峰,而是持續上升到2016年三月份,并在此后一直保持在高水平的位置。這次增長主要歸因于針對加拿大金融機構的攻擊在2016年增長了444%。一年的持續性增長趨勢表明,加拿大金融機構已經成為釣魚者更具吸引力的目標。如下圖所示:
觀察到針對少數國家機構的網絡釣魚活動顯著下降。在2015年針對中國的網絡釣魚攻擊數量幾乎翻倍后,到了2016年,針對中國的釣魚攻擊下降了48%。針對英國實體的網絡釣魚攻擊近年來迅速下降,2014年下降了38%,2016年下降了23%。
最近觀察到的最有趣的變化之一是針對南非公司的大規模網絡釣魚攻擊數量有所下降,在2014年,南非商業是釣魚攻擊的第六個最受歡迎的目標。過去兩年,針對該國的網絡釣魚攻擊數量減少了90%。在網絡釣魚總量中排在了全世界第22位。
6.如何進行網絡釣魚攻擊?
本報告在這節中,將主要分析和洞察開展網絡釣魚攻擊所利用的策略、技術、和過程。這些基本組件是我們在調查和減緩網絡釣魚攻擊的過程中發現的。通過識別、分析、和關閉這些組件,我們讓釣魚者進行攻擊、收集偷取信息、和獲利更加困難。
網絡釣魚服務器托管地址
59%的網絡釣魚網站托管在美國。和2015年相比,托管在東歐的釣魚網站數量急劇增長,托管在東亞的有所下降。
大多數釣魚網絡托管在被攻擊的WEB托管服務器上。在2016年,80%的釣魚網站的托管地只有10個國家,托管在美國的就有59%。緊隨美國之后,最常見的托管釣魚基礎設施是德國(4%)、英國(4%)、荷蘭(3%)、俄羅斯(3%)。如下圖所示:
托管在東歐的釣魚網站數量急劇增長。2016年很多在這個地區的國家托管的釣魚服務器是2015年的兩倍,包括拉脫維亞(+360%)、塞爾維亞(+152%)、波蘭(+123%)、立陶宛(+116%)、保加利亞(+112%)、捷克共和國(+111%)、俄羅斯(+110%)。很多其它的國家也有顯著上升,包括巴拿馬(+657%)、意大利(+98%)、荷蘭(+88%)、澳大利亞(+86%)、印度尼西亞(+83%)。
和東歐的增長情況相反,值得注意的是托管在很多東亞國家的釣魚網站有所減少。這些國家和地區包括臺灣(-43%)、香港(-38%)、韓國(-34%)、日本(-30%)。我們看到2016年托管在中國的釣魚網站實際上有一個凈增長,不過下半年托管在中國的釣魚網站和上半年的相比減少了50%,整體來看處于凈增長。其他托管釣魚網站數量減少的國家包括智利(-50%)、印度(- 33%)、土耳其(-24%)、南非(-23%)。
釣魚網站使用的頂級域名(TLDs)
不出所料,2016年超過51%的釣魚網站托管在注冊的“.com”頂級域名上,這個比例和2015年的基本相同。
除了“.com”域名,釣魚網站最常用的頂級域名還有.br,.net,.org,.ru,.uk,.au,.info,.in,和.pl。以這10個頂級域名相關的釣魚網站占到了總量的四分之三。
因為絕大多數釣魚網站都位于被釣魚者攻破的(肉雞)域名上,而不是惡意注冊的域名。
在2016年,我們識別出釣魚網站托管在432個不同的頂級域名上,與2015年觀察到的280個頂級域名相比有顯著增長。這種增長的主要原因似乎是釣魚者開始將更多的釣魚網站托管在最近創建的通用頂級域名上(gTLDs)。這些新的通用頂級域名是由ICANN在2011推出的一個最新的通用頂級域名擴展計劃批準的。去年,在220個新gTLDs上發現了釣魚網站的內容,和2015年托管在gTLDs上的釣魚網站數量(66)相比,2016年的數量多了三倍。最常用的gTLDs是.TOP,.XYZ,.ONLINE,.CLUB,.WEBSITE,.LINK,.SPACE,.SITE,.WIN和.SUPPORT。
盡管使用新gTLDs域名的釣魚網站僅有2%,但是托管在新gTLDs域名上的釣魚網站總體上增長了1000%,證據表明,釣魚者在構建他們的釣魚計劃時,新gTLDs域名已經開始成為更受歡迎的選擇。
有幾個原因導致了新gTLDs域名在釣魚生態系統中獲得了吸引力。一是注冊一些新gTLDs域名很便宜,對那些想對他們釣魚基礎設施有更多控制權,不想將釣魚網站架設在一個被攻破的WEB服務器上的釣魚者,這種方法的成本較低。其次,釣魚者可以利用一些新開發的gTLDs域名建立網站,并使用誘惑性的字符串,在潛在的受害者看來可能更合理。例如,在2016年,已經發現在下面的域名中托管了各種釣魚內容:
一目了然,每一個出現的這個網站,對于一個不知情的受害者,都包含了看似合法的、有用的字符串。在過去,當釣魚者注冊一個域名用于將釣魚內容托管在上面時,他們通常在域名的名稱中包含了與目標相關聯的內容,這給網站增加了一個合法性的光環。現在,使用新gTLDs域名,釣魚者有了誘騙受害者的另一種選擇。
在識別可能存在的針對公司或行業的釣魚活動時,分析它的頂級域名是一個有用的工具,特別是當觀察到一個很少和釣魚網站有關的TLD域名,突然出現了釣魚攻擊了高峰時。從分析的角度看,需要注意的是,使用這種技術識別出的所有域名都是惡意注冊的域名,而不是通過釣魚主體攻破的域名。因此,當識別出一個攻擊高峰時,收集的域名注冊人信息是一個有價值的情報。
下面列出這些TLD高峰,包括:
1.2016年秋天,一個使用了“.link”域名的釣魚網站攻擊了美國技術公司,導致了一次TLD高峰。
2.2016年夏天,在一次活動中,使用了“.ga”域名的釣魚網站針對主要支付服務公司的攻擊急劇上升。
3.2016年6月,使用了“.hu”頂級域名的釣魚網站,在對多個webmail提供商的攻擊活動中制造了一次攻擊高峰。
4.2016年4月,一個針對一家大型美國金融機構的攻擊高峰和使用了“.ng”頂級域名的釣魚網站有關。
5.2016年8月至9月,使用了“cloud”頂級域名的釣魚網站,制造了對一個美國云服務提供商的大規模攻擊活動,并且在此后和這個域名有關的攻擊活動很少被觀察到。
6.2016年7月至8月,使用了“gq”頂級域名的釣魚網站和一個針對德國支付服務公司的攻擊高峰是有關系的。
如下圖所示:
網絡釣魚工具包
網絡釣魚工具包是文件的集合,通常包含在歸檔文件中,如一個ZIP文件,它包含了所有用于創建一個釣魚網站所需的組件(HTML/PHP頁面模板、腳本、圖片等等)。在2016年,我們收集到了超過29000個獨立的網絡釣魚工具包,它們包含了創建釣魚網站的組件,并針對超過300個不同的公司。
因為從本質上講,工具包是大多數騙子創建網絡釣魚網站的“配方”。通過廣泛收集和分析網絡釣魚工具包,我們能更深入理解釣魚者進行詐騙所用的技術。通過分析這些工具包,我們可以識別出任何可能會部署的反檢測機制,因此,我們可以更好地制定對策,以防止這些反檢測機制能成功繞過檢測。通過手工分析和動態分析,我們可以將工具包關聯到由它創建的個別釣魚網站上,并且能更好的了解到釣魚者使用了哪些主要工具包。我們可以識別出這些工具包的傳播機制(社交媒體、文件托管網站、地下論壇、供應商網站等),并通過關閉傳播點,來阻斷工具包的支持鏈。
釣魚者為了防止他們的釣魚網站被探測和關閉,有時會嘗試使用不同的技術來限制對他們網站的訪問。這其中的一種方法是釣魚者利用某種類型的訪問控制技術來嘗試阻止不需要的訪問者,根據特定的規則來阻止對網站的訪問,如根據IP地址、用戶代理字符串、主機名、或HTTP referrer。通常,這些訪問控制是以PHP腳本的HTACCESS文件或黑名單的形式存在的。雖然比較罕見,但我們還是觀察到網絡釣魚工具包利用訪問白名單,而不是根據確定的特點來阻止訪問者,從而只允許復合特定標準的人訪問該網站。這種白名單機制通常用于針對一個特定區域或國家的攻擊,它可以根據IP地址位置來過濾訪問者。
2016年,在我們分析的工具包中,42%使用了HTACCESS文件,17%使用了PHP黑名單來限制訪問。為更全面的控制一個釣魚網站的訪問者,41%的工具包結合了HTACCESS文件和PHP黑名單機制。如下圖所示:
另一種釣魚者使用的試圖逃避檢測的技術是動態改變每個釣魚網站訪問者的URL,使基于瀏覽器的阻止(大概)不那么有效。網絡釣魚工具包有兩種主要的技術用于嘗試逃避基于瀏覽器的探測:目錄生成和隨機URL參數。
2016年,在我們分析的網絡釣魚工具包中,14%包含用于在釣魚網頁URL的末端產生隨機參數的腳本。這種方法和目錄生成類似,每次加載的釣魚頁面URL結果都不一樣。雖然URL參數具有合法用途,他們在釣魚網站使用的目的通常是良性的(雖然已經發現一些復雜的工具包,會為釣魚網站加載特定參數)。使用該技術的目的與目錄生成器相同,然而,它們之間最大的區別是不用在服務器上創建或復制新文件。
在網絡釣魚生態系統中有一個有趣的一面,有很多威脅主體從事攻擊活動,但是只有一少部分釣魚者有足夠成熟的水平,并能從頭開始寫出釣魚工具包。因為這個原因,工具包作者可以通過將工具包傳播給水平低的用戶,并以此來獲利。工具包作者在釣魚生態系統中賺錢的方法有兩種:一種是出售工具包,一種是傳播免費的帶有后門的工具包。銷售工具包的地方一般是地下論壇、賣主網站、或暗網市場。大多數工具包的價格在1美元到50美元之間,依據是目標和工具包的成熟度。然而,有些工具包捆綁了其他功能,如活動追蹤控制面板,并可以出售數百美元。這是釣魚工具包作者最簡單和最直接的賺錢方式。但實際情況是工具包不是免費的,因此花錢買工具包的人可能很有限。
這就是為什么越來越多的釣魚工具包作者選擇將他們的工具免費傳播給潛在的用戶。這些工具包有時會在地下黑客論壇中循環,但是也有許多是通過社交媒體和免費文件托管網站公開傳播的。
使用免費商業模式時,工具包作者通常會在他們的工具包中捆綁后門,該后門除了將釣魚信息發送給工具包用戶包,還可以將所有從攻擊活動中得到的數據發送到工具包作者控制的設備上。這些后門通常會混淆在工具包中,通常情況下,水平低的工具包用戶是無法察覺到的。因此,除了直接出售工具包來獲利,還可以通過免費傳播工具包,然后通過捆綁的后門秘密收集工具包用戶的個人信息和金融信息,并通過出售這些信息來賺錢。
四、勒索軟件的爆發
2015年末到2016年初的惡意軟件趨勢表示勒索軟件正在到處流行。在2016年第一季度結束之前,分析家和行業內的人將這種趨勢稱作“勒索軟件年”。一年快速過去,這個詞變成了“老生常談”,當然這也沒錯。毫無疑問,2016將會被人們銘記,因為在這一年里,勒索軟件在惡意軟件領域變成了最普遍的和最有利可圖的威脅。
盡管勒索軟件作為一個威脅在信息領域已經存在幾十年,今年由勒索軟件的惡意天性產生的震動,引起了外界對IT安全行業的關注。大量媒體每天都在報道有關企業已經變成了勒索軟件的獵物,及由此產生的影響和為此付出的代價。消費者也沒能幸免。由此產生的效應是,全世界的廣大用戶已經認識到“勒索軟件”一詞是指軟件,只不過這個軟件會限制對一個計算機的訪問,并向受害人要求贖金,用于恢復訪問權。當然,這個簡單的意識并不等于有能力阻止勒索軟件的感染,在惡意軟件作者和惡意行為主體的努力下,勒索軟件在繼續增長。
1.勒索軟件為什么會如些流行?
勒索軟件在攻擊者中流行是由多種原因造成的,包括盈利能力、簡易性和可行性。獲取利益是產生網絡犯罪最大的原因。2016年初,勒索活動的成功,被媒體的不斷報道放大了。導致了其它的網絡罪犯遠離了各種各樣其它的冒險,并將手申向了勒索軟件。勒索軟件的簡易性使得這種改變更加容易。
勒索軟件允許攻擊者使用一個配置攻擊所有目標用戶。它也允許立即將感染貨幣化–不需要出售憑據、不需要欺詐處理、不需要進一步的初會工程學。通過將加密數字貨幣引入主流經濟的方法,使攻擊者在匿名的情況下賺錢成為了可能。對于勒索軟件攻擊者,他們以前冒著暴露的危險,需要依賴信用卡或預付款卡,現在有一個可靠的并且匿名的方法來收取大量贖金。多個結合的因素導使了勒索軟件日益流行。
2.誰是參與者?
在過去幾年里,參與創建和傳播勒索軟件的人顯著擴大。已經建立的勒索軟件家族繼續釋放更強的進化、更精致的版本,如Cryptolocker和Cryptowall勒索軟件。這些知名的勒索軟件家族催生了希望充分利用前人成功的新變種、模仿者、相似者。可能最好的例子就是Locky,它是2016年最成功的一個勒索軟件家族,該勒索軟件和Dridex銀行木馬的作者是有關系的。
在這一年,我們觀察到勒索軟件即服務模型在不斷擴張。類似于Cerber和Petya/Mischa的勒索軟件允許技術水平一般的攻擊者通過制作惡意軟件參與到勒索軟件趨勢中,并提供分銷、與會員分割利潤。在某些情況下,大量類似于這些缺乏技術的參與者也加入了編寫自己惡意軟件的行列中,導致了劣質勒索軟件的災難,因為這些劣質勒索軟件往往比預期更具破壞性。過去一年勒索軟件的全面成功鼓勵和刺激了威脅主體瞄準了廣泛的消費者和商業目標。
3.誰是被攻擊的目標?
過去一年,勒索軟件最有趣的一個趨勢是其成熟的目標計劃,越是成功的勒索軟件家族越是這樣。以前,勒索軟件的傳播大多采用廣播攻擊方法,攻擊者試圖最可能多的捕獲受害者。這種策略和2016年初很多勒索軟件家族的傳播策略是相同的。隨著一年的過去,勒索軟件的攻擊目標發生了轉變,慢慢的遠離了個人消費者,因為這些人很少愿意支付贖金恢復文件。
相反,勒索軟件活動慢慢的開始向有針對性的魚叉式網絡釣魚活動進化,專注于小型企業、學校、政府機構、關鍵基礎設施和醫療設施。有幾個因素使這些組織成為首要目標。一他們有高價值的數據,數據可用性是這些組織最重要的日常工作,在很多情況下,他們愿意支付贖金用于立即恢復訪問。二他們通常會為IT人員提供一些預算,并且沒有足夠的準備用于保護他們的IP資產,或響應一起事件。最后,這些組織經常受規章制度約束,從而使他們創建或存儲備份的能力復雜化。在這種情況下,支付贖金可能是恢復加密數據唯一的方法。
4.為什么勒索軟件會成功?
現代勒索軟件在感染它們的目標上很成功,這有很多原因。也許最重要的原因是它們使用的傳播方法利用了一個最薄弱環節—人類。到目前為止,勒索軟件最普遍的傳播方式是網絡釣魚郵件。粗心的用戶會陷入社會工程策略、瀏覽惡意網址、下載惡意文件、并執行惡意程序。
其他感染載體包括利用工具包、惡意廣告、偷渡式下載、和掃描網絡脆弱的軟件。這些方法仍然依賴人類未能保持軟件更新或利用未知/不受信任的軟件。
除了傳播方法,勒索軟件的成功還依賴于它使用了強大的加密算法和完善的密鑰管理。高質量的現代勒索軟件樣本會利用成熟的加密算法,并會將解密密鑰存儲在只有攻擊者才能訪問到的安全位置,由此來降低安全專家對樣本采用逆向工程的機會,或降低受害人沒支付就解密的機會。
最后,成功的勒索軟件是功能健全的,并且在收集贖金后能兌現解密文件的承諾。如果支付不能導致解密,當消息傳播后,惡意行為參與者將會知道他們的感染將無法貨幣化。
就感染量而言,現代勒索軟件是非常有效的,但是就財產轉化率而言,它并不是很有效。僅僅一小部分受感染的用戶會支付他們要求的贖金。對于許多人,數據丟失已成為生活的事實,以前經歷過數據丟失,他們會跨過勒索軟件的感染,并從頭開始。其他人是因為對購買加密數字貨幣和跟進付款太陌生或不舒服。還有一些人是因為覺得有義務避免為犯罪集團提供資金。盡管財產轉化率比較低,但是被感染用戶的支付數量已經足以使勒索軟件在未來的歲月里成為一個永遠有吸引力的攻擊向量。
5.勒索軟件的未來
勒索軟件流行了一年后,下一步是什么?一些已經開始發展的趨勢有助于回答這個問題。盡管大部分勒索軟件針對的是Windows用戶,但是一些勒索軟件作者已經開始創建針對其它平臺的樣本。這種趨勢可能會繼續,并伴隨著更復雜的OSX、Linux、服務器操作系統、和手機平臺惡意軟件的產生。
此外,勒索軟件參與者可能會攻擊物聯網設備,最近的非勒索攻擊已經證明了在這個領域存在顯著的脆弱性。攻擊者除了擴大勒索軟件針對的目標平臺,可能還會尋求擴大勒索軟件的功能。贖金消息早已包含在公開披露的威脅中,但是最近,勒索軟件樣本包含了數據滲漏功能,從而允許這種威脅采取更多行動。過去一年中觀察到的樣本正在吸納計算機成為僵尸網絡,并竊取比特幣錢包、故意破壞數據、收獲電子郵件地址和登錄憑據。根據勒索軟件目標的進化,勒索軟件作者還將繼續擴展其功能。如前所述,攻擊者將某些商業和行業作為勒索軟件攻擊的主要目標,但隨著時間的推移,目前勒索軟件正在瞄準的目標組織將會增強他們的抵抗力。然而,這不會是勒索的末日。攻擊者將會通過他們的成功策略,繼續尋找那些具有高價值數據,但又同時存在弱信息安全態勢的組織和行業,這將確保有針對性的勒索攻擊繼續擴散。
五、結論
2016年,網絡釣魚威脅景觀以深刻的方式改變了航向,打破歷史趨勢,并描繪出了一個未來的道路,這條道路和我們以前所預期的有本質的不同。考慮到由這兩個變革事件帶來了嚴重的網絡犯罪結果,這一年因此變得更加引人注目。
云服務、SaaS、和其它在線服務提供商已經廣泛采用了用郵箱代替唯一用戶名的友好做法。這種做法使網絡釣魚攻擊更容易收集到郵箱/密碼憑據對。威脅主體抓住這次機會,并在前所未有的范圍內收獲了大量憑據對。廣泛采用這種身份認證的做法觸發了一個漣漪效應,而這將改變整個網絡犯罪生態系統,在未來的幾年我們都會感受到。
盡管勒索軟件已經存在了幾十年,但是加密數字貨幣的出現,將它從新奇事件變成了全民公敵。當然,這是一個合理的預期,因為加密數字貨幣給犯罪份子提供了一個機會,它給網絡犯罪份子提供了一個真正匿名且有合法貨幣價值的全球在線貨幣。然而,沒有預料到的是,它導致了一個新的、更精簡的網絡犯罪商業模型,這個商業模型從以前的偷取有價值的數據,變成了直接從受害人那收集加密數字貨幣贖金。這種商業模型使勒索軟件迅速站到了惡意軟件景觀的頂端,并將在以后的多年里繼續塑造網絡犯罪世界。
本報告中展現出的趨勢和信息,能幫助安全領導人、從業人員和其它社區人員呈現出由這兩個事件帶來的影響,及2016年我們觀察到的很多其它的變化。盡管這些趨勢會繼續變化,但是它對我們理解網絡釣魚攻擊仍然會持續流行和有效很重要。網絡釣魚是攻擊的主要方法,不論它的目的是偷取憑據還是傳播勒索軟件。為了在今天的威脅景觀中存活,組織必須將防御網絡釣魚攻擊放在首位。