圖片來源: 

李宗翰 攝影

鎖定特定目標的魚叉式網路釣魚攻擊(Spear Phishing),手法越來越高明,令人防不勝防,有心人士透過電子郵件夾帶的文件檔案或嵌入的網頁,經過精心設計、量身打造,以假亂真的程度日益提高,一般使用者從裡面的內容,越來越難判斷出是否為他人所假造,以及內藏可植入電腦的惡意後門程式,而產生警覺。

然而,換個角度來看,這些「誘餌(Decoy)」本身的內容因為太過專屬,其實,某種程度,等於暴露了攻擊者所要針對的對象。在台灣駭客年會HITCON Pacific 2016上,Palo Alto Network公司威脅情報團隊總監Ryan Olson,就特別以此為題,暢談若能有效分析這些誘餌檔案的內容,將更能夠識別出對方所要攻擊的目標身分。

首先,所謂的「誘餌」究竟是指什麼?Ryan Olson解釋,在網路釣魚信件當中,除了夾帶經過特製的漏洞利用文件(Exploit Document),使用者一旦開啟透過應用程式開啟這些檔案時,可透過應用程式的漏洞,趁機植入後門木馬程式,而在漏洞利用文件裡面用來博取使用者信任、誤以為正常的門面「檔案」,就是所謂的誘餌文件(Decoy Document),而不同於後門程式與漏洞利用程式。

但過去以來,我們其實很少看到資安廠商特別針對「誘餌」進行研究。Ryan Olson認為,單就誘餌文件而言,其實就能找出誰是即將受到攻擊的目標。例如,根據文件使用的「語言」、文件描述的「主題」、使用者接收到文件的「時間」,以及文件取得的「來源」,可能就足以描繪、歸納出攻擊者所要針對的目標。

Ryan Olson舉了他們收集到的許多網路釣魚信樣本,作為說明範例。

以誘餌文件所用的語言來說,我們能夠推測攻擊者所要誘騙的使用者國籍,以及所在地區範圍,例如裡面是印尼文,可能就是針對該國人民而來。

其次,誘餌文件內容所描述的主題,與攻擊者有興趣或有意參與的行為相關,舉凡搶救太空研究計畫、節慶祝福卡等。

誘餌文件內容與發出的時間,也可能與特定活動舉行有關,舉凡研討會邀請函、電影首映會通知。

至於文件的來源,有些很容易從外部取得,例如透過網際網路的各種公開網站拼湊,有些則是特定組織、部門所專屬的文件格式或表單樣式,若要讓攻擊目標搞不清楚內容真假,而無法察覺異常,進而心生警惕,攻擊發動者則需要把誘餌文件模仿得維妙維肖,才能增高對方上當的機率。

有時候,攻擊者在仿製誘餌文件內容時,也會因為出錯而露出馬腳。Ryan Olson也舉了一個這樣特殊的例子。對方用螢幕擷圖的方式,想要快速產生誘餌文件,卻不小心把開啟的應用程式和作業系統桌面,也一起擷取下來,然後合成到誘餌文件上,而資安分析人員如果收集到這種樣本,就可以推測出攻擊者的國籍、應用程式、甚至建立誘餌的時間。

關於這些誘餌運用的網路釣魚策略,Ryan Olson也舉出近期的實際案例——Lotus Blossom Group黑客集團發動的Operation Lotus Blossom攻擊。根據Palo Alto的Unit 42威脅研究團隊的分析,這個攻擊活動時間長達3年以上,主要目標是東南亞5個國家的政府與軍事單位,發起者可能是由國家資助的團體,而截至目前為止,他們已發起57個攻擊行動。

而Operation Lotus Blossom攻擊當中,所用的後門程式稱為Elise,而所用的誘餌非常多元,針對越南,在Unit 42的報告中列出8種夾檔類型,而對付菲律賓的部份,也有6種誘餌。臺灣也是這個團體的目標,但他們目前並未找到誘餌文件。

最後,Palo Alto未來對於誘餌文件的具體因應作法,Ryan Olson也在大會上揭露。他們打算透過剖析誘餌文件內容的方式,產生出文字雲(Word-Cloud),以突顯特定關鍵字詞,歸納出攻擊者慣用的主題,以及所用的文件。

熱門新聞

Advertisement