［謝其祥 李莎］

1 引言

習(xí)近平總書記在2018 年提出了“沒有網(wǎng)絡(luò)安全就是沒有國家安全”的核心理念，將網(wǎng)絡(luò)安全提升至國家戰(zhàn)略層面。在數(shù)字化技術(shù)滲透到我們生活的方方面面的今天，在網(wǎng)上購物、在線支付、即時聊天、傳送文件資料的時候，網(wǎng)絡(luò)安全便已時刻保護著我們的個人及財產(chǎn)安全。網(wǎng)絡(luò)安全已然成為我們工作、生活、學(xué)習(xí)離不開的話題。

“人”是網(wǎng)絡(luò)安全最大的威脅，“人”的脆弱性漏洞是破壞性及影響力最大的漏洞，因此，網(wǎng)絡(luò)釣魚這一針對“人”的攻擊至今仍愈演愈烈。但是在較多的網(wǎng)絡(luò)安全報告中并未發(fā)現(xiàn)關(guān)于“人”這一方面的威脅分析和研究的防御措施，認為“人”不用防或難以防范而不作為。

網(wǎng)絡(luò)釣魚攻擊是針對個人進行的利用人性弱點的入侵攻擊，然而“人”卻是網(wǎng)絡(luò)安全體系中最脆弱的一環(huán)，網(wǎng)絡(luò)安全建設(shè)應(yīng)警惕“短板效應(yīng)”，防范“黑天鵝”事件。

在零信任機制中，“一切輸入都是不可信任的，一切都須驗證”是零信任的核心。在“人”這方面的管控，也應(yīng)參考零信任機制的理念，一切人員須納入網(wǎng)絡(luò)安全框架內(nèi)進行驗證并審計，加以技術(shù)控制以降低風(fēng)險。

郵件安全廠商Mimecast 發(fā)布的《The State of Email Security 2022》報告中指出，“2021 年數(shù)據(jù)泄露事件飆升，網(wǎng)絡(luò)釣魚是最大的罪魁禍?zhǔn)祝?6%的數(shù)據(jù)泄露，至少部分原因是因為通過網(wǎng)絡(luò)釣魚竊取了員工的憑證，其中96%是通過電子郵件發(fā)生的。”“96%的公司已經(jīng)成為郵件釣魚攻擊的目標(biāo)”，如圖1 所示，這說明了網(wǎng)絡(luò)釣魚攻擊已然成為了成本低但收益高、回報率高的攻擊手段，而且不易被追溯。網(wǎng)絡(luò)釣魚攻擊利用“廣撒網(wǎng)”的手段，屢屢得手，成為了目前急需防御的網(wǎng)絡(luò)攻擊之一。

圖1 網(wǎng)絡(luò)釣魚事件統(tǒng)計

釣魚攻擊是針對人性缺點進行滲透突破的，人在未受到專業(yè)培訓(xùn)的情況下，容易受到自身的恐懼心理、服從心理、貪婪心理、好奇心理、同情心理等的驅(qū)使，點擊或下載攻擊者精心設(shè)計好的釣魚“鉤子”從而上當(dāng)受騙，如釣魚網(wǎng)站對個人憑證的竊取、釣魚郵件的木馬附件、釣魚短信的木馬下載鏈接以及釣魚電話的人員操縱等。

在大多數(shù)的網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)安全的解決方案中，都僅闡述了邏輯技術(shù)方面的研究，并未在如何預(yù)防內(nèi)部人員被社會工程學(xué)攻擊的方面作詳細、長期且持久的研究和統(tǒng)計，在網(wǎng)絡(luò)安全建設(shè)中，應(yīng)警惕“短板效應(yīng)”的發(fā)生。人是網(wǎng)絡(luò)安全的建設(shè)者，也是摧毀網(wǎng)絡(luò)安全措施的破壞者。如果攻擊者利用釣魚攻擊，對內(nèi)部人員進行社會工程學(xué)攻擊，從而輕而易舉地獲得密鑰、系統(tǒng)口令、內(nèi)部敏感數(shù)據(jù)、商業(yè)機密等數(shù)據(jù)資產(chǎn)，那么攻擊者便不會花費大量時間、人力和資金去突破組織精心部署的各種防火墻、IDS、IPS、數(shù)據(jù)防泄露系統(tǒng)等的縱深防御措施。

2 釣魚攻擊的場景及防御

2.1 釣魚郵件

什么是釣魚郵件？釣魚郵件指精心設(shè)計的偽裝特定人員或特定平臺系統(tǒng)、攜帶病毒木馬等惡意代碼、發(fā)送給目標(biāo)人員或人群的難以追溯的惡意郵件。

釣魚郵件一般有如下特點：

（1）有壓縮的附件。攻擊者喜歡使用將特洛伊木馬等惡意代碼壓縮成ZIP 格式，以躲避殺毒軟件等匹配惡意特征碼機制的查殺。而且附件解壓后的文件格式是.com、.exe、.bat 等可執(zhí)行文件格式。

（2）郵件內(nèi)容所傳達事情是時間緊迫、緊急或投人所好的，釣魚郵件最經(jīng)典的手段就是利用人的心理學(xué)特點。當(dāng)一封郵件發(fā)送過來，寫著①“您的企業(yè)郵箱133*****888 賬號疑似被他人盜取，為了您的財產(chǎn)安全，請收到郵件5 分鐘內(nèi)下載附件并按要求操作，否則逾期自負！”是利用人的恐懼心理以及損失厭惡心理，是一種魚叉式釣魚（Spear Phishing），如圖3 所示。②“根據(jù)《***通知》的規(guī)定，公司將對2021 年7 月前在職員工進行2021 年的績效補貼發(fā)放，收到郵件后，請及時填寫個人銀行卡賬號及手機號，并掃描二維碼按操作提示，逾期不再受理，請知悉！”是利用了人的貪婪和對權(quán)威信任的心理，如圖2 所示。

圖2 釣魚郵件的截圖

（3）郵件頭偽造利用，發(fā)件人偽裝成真實的郵件域名，或者僅有細微差別。如要偽裝@securecenter.cn，利用郵件頭偽造的方式可造出@secureeenter.cn、@sccurecenter.cn、@securecenter.com、@secure-center.cn 等極為相似的域名來欺騙收件人的雙眼。

怎么防御釣魚郵件？

（1）在郵件網(wǎng)關(guān)入口部署郵件防毒系統(tǒng)。在郵件網(wǎng)關(guān)部署防毒系統(tǒng)旨在結(jié)合安全廠商已有的殺毒程序?qū)︵]件病毒進行攔截，對郵件不良敏感內(nèi)容進行過濾，設(shè)定攔截及放行規(guī)則，通過安全驗證后才轉(zhuǎn)發(fā)到郵件服務(wù)器，保證用戶的Email 安全。

（2）正確配置SMTP 郵件中繼的身份驗證機制。因為釣魚郵件發(fā)送者并不想暴露其來源信息以免被追溯，所以釣魚郵件發(fā)送者會尋找完全開放的郵件中繼并轉(zhuǎn)發(fā)釣魚郵件。對郵件中繼正確配置，在接收和轉(zhuǎn)發(fā)前需對發(fā)件人進行身份驗證。如果郵件中繼默認設(shè)置為“完全開放”，則郵件服務(wù)器會接收任何郵件并發(fā)送給任意指定的接收者。

（3）使用SPF（Sender Policy Framework）技術(shù)配置電子郵件系統(tǒng)。SPF 通過對每封進入服務(wù)器的電子郵件進行驗證，來防止釣魚郵件偽造郵件地址。

（4）沙盒機制。在郵件網(wǎng)關(guān)接入郵件沙盒，郵件網(wǎng)關(guān)檢測到有附件或鏈接時候，必須先將所有附件或鏈接剝離并發(fā)送到郵件沙盒，在沙盒的隔離環(huán)境下打開附件并運行或點擊鏈接訪問，對代碼行為進行動態(tài)分析，辨別出惡意附件及惡意鏈接，并將結(jié)果返回給郵件網(wǎng)關(guān)。郵件網(wǎng)關(guān)必須等待沙盒的辨別信息后，才能對該郵件執(zhí)行攔截或放行的操作。

（5）進行網(wǎng)絡(luò)釣魚攻擊的專題培訓(xùn)和安全意識宣貫。對員工進行網(wǎng)絡(luò)釣魚的培訓(xùn)和提升員工的安全意識并達到預(yù)期效果，對于網(wǎng)絡(luò)釣魚攻擊來說是致命的。因為網(wǎng)絡(luò)釣魚歸根結(jié)底就是利用人性漏洞和社會工程學(xué)伎倆，譬如恐懼心理、服從心理、損失厭惡心理、貪婪心理等。簡而言之，網(wǎng)絡(luò)釣魚就是利用人性漏洞驅(qū)使受害者按照攻擊者意圖進行一系列操作以達到攻擊者預(yù)期目標(biāo)的手段。即使無任何防釣魚技術(shù)的防護，只要人不被釣魚所欺騙，網(wǎng)絡(luò)釣魚也不過是飯后余談而已。

2.2 釣魚網(wǎng)站

釣魚網(wǎng)站參照目標(biāo)合法網(wǎng)站的外觀，偽造成與其非常相似的精心設(shè)計的網(wǎng)站，并通過社會工程學(xué)伎倆誘導(dǎo)受害者訪問該偽裝網(wǎng)站。受害者在以假亂真的界面輸入賬號密碼、銀行賬號等敏感信息后，個人財產(chǎn)安全甚至人身安全便已受到了威脅。釣魚網(wǎng)站一般跟金錢利益、身份信息盜用有關(guān)，所以各大銀行、銀聯(lián)、支付寶、微信、QQ、翼支付等的官網(wǎng)是釣魚網(wǎng)站的目標(biāo)所在。

釣魚網(wǎng)站的攻擊成本低，所獲利潤高，導(dǎo)致了釣魚網(wǎng)站的投資回報率（Return On Investment，ROI）高。偽裝金融網(wǎng)站的投資回報率高是釣魚網(wǎng)站至今愈演愈烈的根本原因之一。

那么人們是怎么誤入釣魚網(wǎng)站的？主要有以下4 種方式：

（1）搜索引擎優(yōu)化（Search Engine Optimization，SEO）技術(shù)：利用搜索引擎的排名規(guī)則，提高網(wǎng)站在有關(guān)搜索引擎內(nèi)的自然排名。黑客為了提升釣魚網(wǎng)站的點擊率，使用SEO 技術(shù)這把雙刃劍，將釣魚網(wǎng)站推向人們的視野，用于釣魚目的SEO 技術(shù)又稱為黑客SEO 技術(shù)。當(dāng)在搜索引擎的搜索結(jié)果列表同一頁中同時出現(xiàn)了釣魚網(wǎng)站和官方網(wǎng)站的時候，人們點擊釣魚網(wǎng)站并受騙的事件也就成為了一定概率的事件。

（2）超鏈接欺騙?！把垡姴灰欢檎妗?，釣魚網(wǎng)站利用了超鏈接“表里不一”的特點。因為超鏈接的元素與鏈接是分開的，給元素賦予的鏈接卻可與元素?zé)o任何關(guān)聯(lián)。譬如一個超鏈接的元素看起來非常正式正規(guī)、甚至與官方網(wǎng)站URL 一模一樣，可是隱藏在元素底下的鏈接卻極有可能是釣魚網(wǎng)站或惡意網(wǎng)站的網(wǎng)址。釣魚郵件內(nèi)容附加的超鏈接極有可能是利用超鏈接欺騙技術(shù)，讓受害者跳轉(zhuǎn)至釣魚網(wǎng)站。

（3）短網(wǎng)址隱藏。“猜猜我是誰”，黑客利用短網(wǎng)址平臺將釣魚網(wǎng)站地址轉(zhuǎn)換成平臺統(tǒng)一的、真假難分的短網(wǎng)址。當(dāng)受害者收到指向釣魚網(wǎng)站的短網(wǎng)址，再輔以社會工程學(xué)攻擊，利用受害者的人性漏洞誘導(dǎo)其打開短鏈接。短網(wǎng)址是把雙刃劍，短網(wǎng)址本是用于營銷手段或用于規(guī)避博客、短信等平臺對于字?jǐn)?shù)的限制，現(xiàn)在被用于釣魚詐騙攻擊的誘導(dǎo)手段，短網(wǎng)址也被用于其他攻擊的輔助手段，如跨站腳本XSS、跨站請求偽造CSRF 等網(wǎng)絡(luò)攻擊。

（4）DNS 欺騙。DNS 解析是將網(wǎng)站域名解析成IP地址的過程，DNS 欺騙是使用中間人（MitM）攻擊的概念和DNS 解析的流程來破壞整個正常的DNS 解析過程。用戶輸入域名，計算機首先訪問C:WindowsSystem32driversetc 目錄下的hosts 文件，如果有靜態(tài)映射解析，則不再向DNS 服務(wù)器發(fā)送域名解析請求。否則發(fā)送DNS 解析請求到DNS 服務(wù)器解析。因為DNS 服務(wù)器響應(yīng)請求需要一定時間，這時候只要攻擊者在DNS 服務(wù)器響應(yīng)之前將偽造的DNS 響應(yīng)發(fā)送回主機就可達到DNS 欺騙效果。所以DNS 欺騙使用的方法有：①病毒非法篡改hosts 文件。② 進行DNS 響應(yīng)的劫持。③DNS 緩存毒化。

防御釣魚網(wǎng)站方法如下：

（1）仔細核對網(wǎng)站域名，真實域名與釣魚域名極可能僅有一符號之差。

（2）對于郵件中的超鏈接，使用鼠標(biāo)“懸停”方式或選中超鏈接并復(fù)制鏈接地址來識別鏈接的真實URL，如圖3 所示。

圖3 鼠標(biāo)“懸?！弊R別

（3）對于短信中的短網(wǎng)址或安全性未知的二維碼，非必要不點擊或掃描。

（4）驗證網(wǎng)站是否有X.509 數(shù)字證書，如有則核實簽發(fā)的CA 是否可信、數(shù)字證書是否處于過期注銷狀態(tài)。對于持非可信CA 簽發(fā)的數(shù)字證書或無數(shù)字證書的網(wǎng)站，應(yīng)進一步甄別其是否為釣魚網(wǎng)站。

3 應(yīng)用沙盒技術(shù)識別釣魚郵件

3.1 沙盒技術(shù)實現(xiàn)釣魚郵件自動識別的原理及構(gòu)想

釣魚郵件的危害在哪？是郵件的內(nèi)容還是郵件的附件或鏈接？內(nèi)容和附件都是攻擊者精心設(shè)計的陷阱，郵件內(nèi)容本身并無害處，只是利用了社會工程學(xué)的人性漏洞，讓你堅信這是一封真實且緊迫緊急的郵件，從而下載附件并按指示運行附件或執(zhí)行其他操作。

什么是沙盒？沙盒是一個與物理環(huán)境隔離的虛擬環(huán)境，用于運行未經(jīng)測試的或信任程度未知的代碼或鏈接，猶如虛擬機中運行病毒木馬并溯源一樣，在沙盒環(huán)境運行任何惡意代碼均在可控范圍內(nèi)，不會污染其他內(nèi)存或感染其他主機。

對比已有的網(wǎng)關(guān)防病毒系統(tǒng)，沙盒技術(shù)能分析惡意代碼的種類更多，并不僅僅限于已知的病毒種類，還能發(fā)現(xiàn)0day 病毒、木馬及其變種類型、邏輯炸彈等惡意代碼和自動識別郵件攜帶的惡意鏈接，通過模仿人的操作結(jié)合惡意軟件行為分析，發(fā)現(xiàn)惡意代碼從而攔截釣魚郵件。

對新出現(xiàn)的加密、加殼、變種病毒木馬，網(wǎng)關(guān)防病毒系統(tǒng)可能因為特征碼庫沒有及時更新導(dǎo)致無法通過特征指紋匹配識別0day 或1day 惡意代碼，而且防病毒系統(tǒng)的特征庫需要及時更新，否則形同虛設(shè)。沙盒技術(shù)站在更高的角度，在模擬人的操作層上打開并點擊、運行郵件附件或惡意鏈接，縱使其千變?nèi)f化，在沙盒運行的惡意代碼動態(tài)行為將會彰顯無遺，如圖4 所示，惡意代碼的破壞行為通常集中在這幾種行為內(nèi)，所以通過惡意行為分析即可研判其是否釣魚郵件。

圖4 病毒的破壞行為統(tǒng)計

釣魚郵件的危害主要在于附件、鏈接背后隱藏的陰謀。只要在釣魚郵件到達郵件網(wǎng)關(guān)后、人們收到郵件之前，通過沙盒技術(shù)運行郵件的附件并對其的動態(tài)行為進行分析，沙盒識別攔截系統(tǒng)將分析結(jié)果返回給郵件網(wǎng)關(guān)，郵件網(wǎng)關(guān)根據(jù)沙盒返回的檢測分析結(jié)果對郵件放行或攔截丟棄。攔截疑似釣魚郵件后，發(fā)送郵件被攔截的通知給用戶，通過用戶的反饋信息促進沙盒攔截系統(tǒng)降低其對釣魚郵件的錯誤接受率FAR 及錯誤拒絕率FRR，如圖5 所示，迭代優(yōu)化。

圖5 FAR 與FRR 的關(guān)系

3.2 應(yīng)用沙盒自動識別攔截釣魚郵件的方案

應(yīng)用沙盒技術(shù)是為了彌補傳統(tǒng)的釣魚附件靜態(tài)掃描分析的缺陷，在惡意代碼的運行階段對其動態(tài)行為進行監(jiān)測和分析，能發(fā)現(xiàn)加密、加殼、變種的病毒木馬、蠕蟲、邏輯炸彈等惡意代碼，對釣魚郵件有效攔截。在沙盒中運行任意代碼并不會對物理主機造成任何威脅。

如圖6 和圖8 所示，安全性未知的郵件到達郵件網(wǎng)關(guān)，先剝離郵件附件或鏈接，并將其發(fā)送至沙盒識別攔截系統(tǒng)，通過沙盒攔截系統(tǒng)對代碼的行為監(jiān)測和分析，將動態(tài)行為的分析和判斷結(jié)果返回郵件網(wǎng)關(guān)，由其負責(zé)攔截或轉(zhuǎn)發(fā)郵件。

圖6 機制流程圖

圖7 功能架構(gòu)圖

圖8 部署拓撲圖

攔截釣魚郵件后，應(yīng)將攔截該郵件的通知告知收件人，由收件人將不正常的情況反饋給管理員，例如正常郵件被沙盒系統(tǒng)攔截或釣魚郵件繞過沙盒攔截系統(tǒng)的實際情況。這種“反饋-調(diào)整”機制將促使沙盒攔截系統(tǒng)特對具體情況調(diào)整策略，降低沙盒攔截系統(tǒng)對釣魚郵件的錯誤接受率FAR 和對正常郵件的錯誤拒絕率FRR。

如圖7 的功能架構(gòu)圖所示，在惡意代碼運行后，會發(fā)生一系列操作行為，如文件的增、刪、改、替換，注冊表的添加、修改和刪除，還有更重要的是惡意代碼的網(wǎng)絡(luò)活動，木馬在運行后需要反向連接外部地址，會開啟動態(tài)端口與外部IP 建立連接等等。

這些惡意行為都可以使用各種類型的日志記錄，在日志采集之后將各類日志發(fā)送到日志分析模塊和惡意行為指紋庫模塊比對，結(jié)合動態(tài)行為分析模塊和攔截過濾規(guī)則，分析和判斷該郵件附件是否惡意代碼，從而得出郵件是否釣魚郵件的結(jié)論。

4 沙盒識別攔截釣魚郵件方案的優(yōu)勢分析

相對于現(xiàn)有的釣魚郵件病毒特征碼靜態(tài)掃描技術(shù)而言，基于沙盒技術(shù)識別并攔截釣魚郵件的方案具有如下顯著優(yōu)點：

（1）檢測范圍更廣。因為是基于代碼運行所產(chǎn)生的行為檢測的，不僅僅基于病毒，還可以檢測木馬、蠕蟲、邏輯炸彈、細菌、間諜軟件等等。因為沙盒識別攔截系統(tǒng)是通過采集惡意代碼的動態(tài)行為，經(jīng)過日志分析、行為分析并與惡意行為指紋庫比對，這一系列的操作之后所下的結(jié)論結(jié)果來作為其是否釣魚郵件的依據(jù)。所以不管惡意代碼的形式是怎樣的，只要它對系統(tǒng)、內(nèi)存或網(wǎng)絡(luò)進行有意破壞或執(zhí)行其他惡意行為，那么基于動態(tài)行為分析的沙盒攔截分析系統(tǒng)就能對其進行監(jiān)測和審計。

（2）惡意代碼檢測更精準(zhǔn)。在目前用于掃描郵件附件的病毒掃描技術(shù)來看，一般都是基于掃描代碼并匹配病毒特征庫的特征碼來判斷是否病毒。這種病毒掃描技術(shù)有局限性，一是惡意代碼特征庫需要人員及時更新，維護成本高；二是病毒特征庫容易被繞過，如惡意代碼通過加密、加殼或變種來繞過病毒特征庫。

正所謂“萬變不離其宗”，不管惡意代碼怎么變，始終都是以破壞環(huán)境、竊取敏感數(shù)據(jù)、隱藏身份、錢財詐騙勒索等等為目的，而沙盒攔截系統(tǒng)關(guān)注的是惡意代碼的動態(tài)破壞行為而非代碼特征本身，降低了由于惡意代碼的形態(tài)千變?nèi)f化而被繞過的安全風(fēng)險。

（3）沙盒“試毒”不會對內(nèi)網(wǎng)環(huán)境造成破壞。沙盒本身就是隔離的虛擬環(huán)境，與物理環(huán)境分隔，惡意代碼對沙盒進行的肆意破壞一般不會對其他內(nèi)存或主機造成任何影響。

（4）減少維護成本。病毒掃描所依賴的惡意代碼特征庫隨著新病毒、新變種的增加而需要不停地更新病毒特征庫，維護成本持續(xù)高昂。與病毒特征庫不同的是，惡意代碼的動態(tài)行為指紋庫相對固定、穩(wěn)定，如圖4 所示，病毒的破壞行為主要集中在那幾種破壞行為。因為惡意代碼的破壞路徑或其目的企圖是較固定的、并不會多樣化，所以對動態(tài)行為指紋庫的維護成本比較病毒特征碼庫的維護成本明顯降低了。

（5）由沙盒代替人來識別網(wǎng)絡(luò)釣魚，可降低釣魚郵件給企業(yè)組織帶來的風(fēng)險。機器無情，釣魚郵件所運用的人性漏洞及社會工程學(xué)伎倆無法對機器施展。加之運用沙盒監(jiān)測惡意代碼行為的方法，猶如上帝視角，黑暗一覽無遺。

5 結(jié)論

本文從社會工程學(xué)、沙盒技術(shù)的角度，分析了網(wǎng)絡(luò)釣魚的場景，剖析其所利用的技術(shù)、人性漏洞和社會工程學(xué)伎倆，針對網(wǎng)絡(luò)釣魚的具體場景提出具體的防御方法。

針對一般的郵件附件掃描技術(shù)存在的不足，提出利用沙盒的隔離特點，使用沙盒先于用戶運行郵件附件“試毒”的理念，通過監(jiān)測代碼運行后的動態(tài)行為，由行為現(xiàn)象判斷附件是否惡意代碼，從而識別并攔截釣魚郵件。最后提出了結(jié)合沙盒技術(shù)識別攔截釣魚郵件的理念及思路、技術(shù)架構(gòu)及方案框架。