APT攻击常用的三种电子邮件掩护潜入技巧

作者： MackyCruz “ 李宗瑞影片，赶快下载呦！ ”政府单位用这样的测试邮件导致 996 名员工因为好奇点击而中招，所有点击的员工需要分十批参加两小时的信息安全课程。本博客还提到过一篇文章称， 69 ％的人每周都会碰到网络钓鱼， 25% 针对高级员工的钓鱼攻

作者：MackyCruz

“李宗瑞影片，赶快下载呦！”政府单位用这样的测试邮件导致 996 名员工因为好奇点击而中招，所有点击的员工需要分十批参加两小时的信息安全课程。本博客还提到过一篇文章称，69％的人每周都会碰到网络钓鱼，25% 针对高级员工的钓鱼攻击得逞。

老板来信要你马上回办公室，开还是不开？

以下这封邮件的发件人是“Boss”老板大人，直接在主题中写着“get back to my office for more details”。（预知详情请尽速来我办公室）

“Please read the attached letter and get back to my office for moredetails to proceed further”，要收件人打开info.zip 附件，当心喔，我们一再提醒不要轻易打开附件。经过趋势科技专家分析，解压出来的info.exe可执行文件，果然是病毒。

有时我们真的很难对以下这样看似“好意”的电子邮件产生怀疑的心态，尤其发件人来自高级主管，这就是APT攻击者可以得逞的第一个步骤：取得在计算机中植入恶意软件的第一个机会。

APT 目标攻击中文社交工程信件样本

APT 高级持续性渗透威胁和目标攻击通常会利用社会工程学陷阱电子邮件作为进入目标网络的手段（注）。考虑到一般企业员工在每个工作日平均要发送41 封，接收100 封电子邮件，以及制造社会工程学陷阱电子邮件的容易度，企业应该要重新审视如何确保这类商务沟通的安全措施了。

《APT 高级持续性渗透威胁》APT 攻击常用的三种电子邮件掩护潜入技巧：

过去的目标攻击可以发现几种不同类型的社会工程学陷阱技术，例如：

1. 利用常见网页邮件服务的账号发送这些电子邮件
   请参考：目标攻击：Gmail 繁体中文网络钓鱼信件

1. 利用之前入侵获得的电子邮件账号来发送
2. 伪装成特定部门或高级主管的电子邮件地址
   比如经由 Email 发送的“员工满意度调查”附件 PDF 文件含目标攻击病毒

以下这个来自中文社交工程邮件一文中的案例，附件“企划rcs.doc”看起来像普通文档，其实其真正的文件名是“企划cod.scr”。这个屏幕保护程序被黑客插入了句柄，让它从后到前显示文件名，点击就会自动运行，这更让平日对执行文件有警戒心的收件人无法招架。

APT 攻击中，类似这样看似公务的信件，往往会考验企业网络的免疫力

这些电子邮件通常会夹带漏洞攻击用的文件，利用常见软件的漏洞入侵受害者的计算机。一旦入侵成功，就会在网络里继续进行高级持续性渗透攻击其他阶段的操作。

对企业而言，尤其是负责保护网络的信息安全部门，需要更加了解攻击者多么轻易地就能够利用电子邮件，因为电子邮件是用来做商务沟通最常见的形式。TrendLabs 推出个过一本入门书 – 「你的商业通讯安全吗？」和数据图表 – 「掩护潜入：经由员工信箱的目标攻击」，这两者都提到电子邮件在高级持续性渗透攻击活动里扮演了多么危险的角色。点击下列缩略图即可下载文件。

发展并利用外部和本地威胁信息，这是启动高级持续性渗透攻击防御策略的关键。Threat Intelligence Resource（威胁情报资源）提供了信息、系统和网络管理者关于高级持续性渗透威胁的最新、最可靠的研究和分析。访问这些页面即可浏览最新内容，让你了解目标攻击的最新发展。

注：并不是说所有的APT都是通过电子邮件进行的，这类威胁肯定会想办法利用各种途径。

l 每天的电子邮件流量有超过60% 属于企业用途

l 一般企业员工平均每天会发送41 封并接收100 封电子邮件

l 收到的邮件中有16% 是垃圾邮件

l 在2012 年，每天的企业电子邮件流量高达890 亿封

攻击者会假造内容让它符合时事，且更具有说服力

l 攻击者利用常见网页邮件服务（如Yahoo!、Gmail 等）的账号，和以前入侵获得的账号寄送电子邮件

l 在RSA 受到的攻击中，发给员工的电子邮件中有主题为：「2011 Recruitment Plan（2011年聘雇计划）」

l 攻击者伪造来自特定部门或目标办公室内高级主管的电子邮件

l 攻击者假造附加文件名，以变得更符和时事，更有说服力

l 在Nitro 攻击活动中，电子邮件伪装成来自目标公司的信息部门

l 一封送至印度目标的电子邮件伪称含有印度弹道导弹防御计划的数据

经由电子邮件寄送的重要信息类别：

l 敏感的赔偿问题 47%

l 并购活动 33%

l 可能的资遣和组织重组 45%

l 产品规划蓝图 63%

l 预算计划 76%

攻击份子利用电子邮件的附件文档传送恶意软件

在2011 年，每100 封收到的电子邮件中就有24 封带有附件文档。目标攻击活动所用的恶意附件文档有着不同的功能：

l 攻击漏洞

l 植入文件

l 下载文件

l 和远程服务器进行通讯

企业需要更大规模的多层次安全解决方案，以便让网络管理者可以深入了解并掌控整体网络的全貌，以降低目标攻击的危险性，不管它会利用什么设备或是入侵点。

朋友在异国丢钱包亟待救援，请尽速汇钱买机票

在这篇文章：Officialsays in voice message that hacker got into online accounts中，提到了一名官员写信向朋友借钱买机票的诈骗，信件大意如下：

“主题：紧急事件，请尽速响应”“Subject: It's Urgernt, Please Responde”

信件内容大意是说，这名官员前往英国时丢了钱包，里面有护照、手机、信用卡等重要物品。目前人在美国大使馆，他们愿意协助该官员在没有护照的情况下搭最近的班机离境，但需要自费购买机票。钱包被偷的官员因此请求收件人协助汇款，并留下旅馆联络电话。

该文作者试图联络这位名叫Leonard 的官员，但只有答录留言解释他的Gmail 账号遭入侵，目前已经修改密码，并会择期对外说明。文章中并说明根据美国联邦贸易委员会统计，每年至少有九百万个美国人身份遭盗用。

身份遭冒用事件中外皆有，下次若有你老板或朋友发信给你，你会上当吗？

CovertArrivals: Email’s Role in APT Campaigns