iT邦幫忙

2024 iThome 鐵人賽

DAY 10
0
Security

資安這條路:系統化學習藍隊技術系列 第 10

Day10:藍隊提升技術力:網路釣魚分析(5) ─ 防禦方法整理與撰寫釣魚分析報告

  • 分享至 

  • xImage
  •  

面對日益猖獗的網路釣魚攻擊,企業藍隊如何結合技術與管理手段,構建有效的防禦體系,降低攻擊風險,保障組織安全?

現象與議題

網路釣魚攻擊已成為企業組織面臨的主要網路威脅之一,攻擊者利用各種技術和社會工程手段,誘騙員工點擊惡意連結、開啟惡意附件或洩露敏感資訊。 企業藍隊需要充分認識到網路釣魚攻擊的普遍性、多樣性和嚴重性,才能制定有效的防禦策略。

  • 網路釣魚攻擊普遍且代價高昂: 釣魚攻擊是駭客最常用的攻擊方式之一,可能導致企業財務損失、資料外洩和信譽受損。
  • 攻擊形式日益多樣化: 攻擊者不斷發展新的策略和技術,例如針對高階主管的"捕鯨攻擊" (Whaling Attack)。 藍隊需要了解不同類型的攻擊,例如偷竊密碼、惡意附件等,並學習如何識別和防範。
  • 難以偵測: 攻擊者使用社交工程技術,將攻擊郵件偽裝成合法來源,例如偵察郵件通常不包含惡意指示符,難以被安全工具或團隊發現。 藍隊需要接受專業訓練,才能識別出這些細微的可疑跡象。
  • 組織中任何人都可能成為目標: 從高階主管到普通員工,都可能成為網路釣魚攻擊的目標。
  • 利用人性弱點: 網路釣魚攻擊針對的是人為因素而非技術系統的弱點,攻擊者利用社會工程技術,誘騙員工點擊惡意連結或洩露敏感資訊。 這使得攻擊更難以防禦,因為即使技術防禦措施再完善,只要員工缺乏安全意識,仍然可能成為攻擊者的目標。
  • 可能導致進一步攻擊: 成功的偵察郵件可能被攻擊者用於進一步的惡意攻擊,例如發送更多惡意郵件或進行網路釣魚攻擊。

技術與管理措施

為有效降低網路釣魚攻擊帶來的風險,企業藍隊需要結合技術和管理措施,構建多層次的防禦體系:

(一) 技術控制

  • 部署電子郵件安全協定 (SPF、DKIM、DMARC): 這些協定可以驗證郵件來源,防止郵件偽造 (Spoofing),降低收到網路釣魚郵件的風險。
    • 舉例來說,SPF (Sender Policy Framework) 允許網域管理員定義哪些伺服器可以代表該網域發送郵件,如果一封郵件聲稱來自 example.com,但實際上卻是從一個未經授權的伺服器發送,則 SPF 檢查將會失敗,郵件伺服器就可以拒絕該郵件,或將其標記為可疑。
    • DKIM (DomainKeys Identified Mail) 則使用數位簽章來驗證郵件是否真的來自聲稱的發送者,並確保郵件內容在傳輸過程中沒有被篡改。
    • DMARC (Domain-based Message Authentication, Reporting & Conformance) 則建立在 SPF 和 DKIM 的基礎上,讓網域管理員可以指定如何處理未通過 SPF 或 DKIM 檢查的郵件。
  • 部署郵件安全閘道器: 閘道器可以過濾垃圾郵件、惡意軟體和網路釣魚攻擊,並提供進階威脅防護功能,例如沙箱分析、惡意連結分析等。
    • 郵件安全閘道器就像企業網路的郵件守門員,它可以檢查所有進出郵件,並根據預設的規則或自訂的策略來過濾或阻止可疑郵件。
    • 例如,閘道器可以掃描郵件附件中的病毒或惡意軟體,識別並阻止包含網路釣魚連結的郵件,並過濾來自已知垃圾郵件發送者的郵件。
    • 進階的郵件安全閘道器還可以提供沙箱分析功能,在一個安全的虛擬環境中執行可疑檔案,以觀察其行為並判斷是否為惡意軟體。
    • 此外,惡意連結分析可以幫助閘道器識別偽裝成合法網站的網路釣魚網站,並阻止使用者瀏覽這些網站。
  • 封鎖已知惡意網站和檔案: 藍隊可以根據威脅情報封鎖已知的惡意網站和檔案,例如透過封鎖檔案雜湊值或檔案名稱來防止惡意檔案傳播。
    • 藍隊可以利用威脅情報平台獲取最新的惡意軟體、網路釣魚網站和其他網路威脅的資訊。
    • 這些平台通常會提供已知惡意檔案的雜湊值、惡意網站的 URL 和網域名稱等資訊。
    • 藍隊可以將這些資訊匯入到防火牆、網路安全設備和郵件安全閘道器等安全設備中,以阻止使用者瀏覽這些網站或下載這些檔案。
    • 例如,如果一個惡意檔案的雜湊值被新增到防火牆的黑名單中,那麼即使該檔案被賦予了一個新的名稱,防火牆仍然可以根據其雜湊值識別並阻止它。
  • 藍隊也可以在網路代理或防火牆上封鎖惡意網站的 URL 或網域名稱,防止員工瀏覽這些網站並下載惡意軟體。
    • 網路代理伺服器可以作為企業網路和外部網路之間的中介,所有進出網路的流量都必須經過代理伺服器。
    • 藍隊可以架設代理伺服器來阻止使用者瀏覽已知的惡意網站。
    • 例如,如果一個網路釣魚網站的 URL 被新增到代理伺服器的黑名單中,那麼當使用者嘗試瀏覽該 URL 時,代理伺服器就會阻止該請求,並向使用者顯示一個警告訊息。
    • 防火牆則是在網路邊界上執行安全策略的網路設備,它可以根據預設的規則或自訂的策略來允許或阻止網路流量。
    • 藍隊可以架設防火牆來阻止使用者瀏覽已知的惡意網站,或阻止來自這些網站的流量進入企業網路。

(二) 管理控制

  • **提升員工安全意識 定期進行網路釣魚意識培訓至關重要,讓員工了解網路釣魚攻擊的危害、常見手法、如何識別可疑郵件以及如何應對。 企業藍隊需要教育所有員工,讓他們明白網路釣魚的威脅,並採取必要的防範措施,例如:

    • **仔細檢查郵件地址和內容
      • 僅僅檢查寄件人地址是不夠的,因為攻擊者可以使用非常相似的地址來偽造合法郵件。
      • 員工需要學會仔細檢查寄件人地址,特別是域名部分,注意是否有拼寫錯誤或可疑之處。
      • 此外,還需要教導員工注意郵件內容,例如可疑的語法和拼寫錯誤,以及與寄件人不符的語氣和內容等。
    • **不要點擊不明連結或開啟可疑附件
      • 特別是來自未知發送者的連結和附件。
      • 攻擊者經常利用惡意連結和附件來傳播惡意軟體或竊取敏感資訊,因此員工不應點擊或打開任何可疑的連結和附件。
      • 即使是來自已知發送者的郵件,如果內容可疑,也應謹慎處理。
    • **舉報可疑郵件
      • 即使不確定是否是網路釣魚郵件,也應該立即舉報給資安團隊。
      • 即使是誤報,也比完全不舉報要好,因為這可以幫助資安團隊及時發現潛在的威脅並採取相應的措施。
      • 企業藍隊需要鼓勵員工積極舉報可疑郵件,並建立簡單易行的舉報機制。
  • **針對高階主管進行專門培訓

    • 高階主管由於掌握更多資源和權限,往往成為 "捕鯨攻擊" 的主要目標。
    • "捕鯨攻擊" 通常經過精心策劃,攻擊者會花費大量時間收集目標的個人資訊,例如他們的興趣愛好、社交關係等,以便製作更具針對性和迷惑性的網路釣魚郵件。
    • 因此,需要對高階主管進行專門的網路釣魚意識培訓,提高他們對此類攻擊的警覺性和防範意識。
  • **標記外部電子郵件 在所有外部電子郵件的主題行或正文中新增醒目的標記,例如 "[外部]" 或 "[請謹慎處理]",提醒員工注意安全。

    • 這可以幫助員工快速識別來自外部的郵件,提高警惕性,並採取更為謹慎的防範措施。
  • **實施資料遺失防護 (DLP) 策略 DLP 策略可以監控和控制敏感資訊的傳輸,例如信用卡號、身份證號等,防止資料外洩。 D

    • LP 解決方案可以部署在網路邊界、終端設備和雲端應用程式中,以便全面監控和保護敏感資訊。
  • **建立網路釣魚事件的應變流程 流程應清晰明確,易於理解和執行,並定期演練和更新。

    • 流程應包括:
      • **收集和保存網路釣魚郵件的證據 完整記錄網路釣魚郵件的證據,例如發送者地址、IP 地址、主題行、郵件內容和附件等,以便進行後續調查和分析。
      • **調查事件發生的原因和影響範圍 確定攻擊者的攻擊目標、攻擊手法以及造成的損失,以便採取更有針對性的補救措施。
      • **採取必要的補救措施 例如重置受影響帳戶的密碼、修復系統漏洞、更新安全策略等,以防止類似事件再次發生。
      • **記錄事件處理過程 詳細記錄事件處理過程中的所有步驟、決策和行動,為日後審計和事件分析提供依據。

加強管理控制措施是構建有效防禦體系的關鍵。 網路釣魚攻擊利用的不是技術漏洞,而是人性弱點。 因此,即使技術防禦措施再完善,只要員工缺乏安全意識,仍然可能成為攻擊者的目標。 只有將技術控制與管理控制措施相結合,提升組織整體安全防禦能力,才能有效降低網路釣魚攻擊帶來的風險。

結合技術與管理,降低攻擊風險

網路釣魚攻擊利用人性弱點,使得單純依靠技術防禦不足以保障組織安全。 因此,藍隊需要將技術控制與管理控制措施相結合,才能有效降低攻擊風險。

  • 技術是基礎: 技術控制是防禦網路釣魚攻擊的基礎,例如部署 SPF、DKIM、DMARC 和郵件安全閘道器等,可以有效阻止大部分的攻擊郵件。
  • 管理是關鍵: 管理控制是提升組織整體安全防禦能力的關鍵,特別是提升員工安全意識和建立完善的事件應變流程,可以有效降低攻擊成功率和造成的損失。
  • 持續改進: 網路釣魚攻擊手法不斷演變,藍隊需要持續學習新的攻擊手法,並定期評估和改進防禦措施,才能有效應對新的威脅。

小結

網路釣魚攻擊是企業組織面臨的持續性威脅,藍隊需要充分認識到這一威脅的嚴重性,並採取積極的防禦措施。結合技術和管理控制措施,建立多層次的防禦體系,並持續學習和改進,才能有效降低網路釣魚攻擊帶來的風險,保障組織安全。

釣魚郵件分析與報告撰寫方向

電子郵件標頭與特徵

  1. 分析信件前,收集特徵
    • 協助將攻擊連結成一個完整的流程
    • 識別背後的惡意行為者
    • 特徵需要以清晰簡潔呈現
  2. 分析之後生成統計數據,並進行趨勢分析
    • 從而預測未來可能發生的事情

電子郵件標頭

  • 寄件者電子郵件地址
  • 回覆地址
  • 發送日期
  • 發送伺服器IP
  • 發送伺服器IP的反向DNS
  • 收件人
  • 主旨

含有URL的電子郵件

  • 任何相關的URL(經過淨化處理)
    • 例如: hxxps://feifei[.]tw/test.php

含有附件的電子郵件

  • 檔案名稱 + 副檔名 (例如: test.exe)
  • MD5雜湊值

電子郵件內容描述

  • 信件檔案
    • .eml 或 .msg 格式
    • 保留一份副本
    • 加入描述和截圖
      • 讓其他分析師不必自己下載且打開
    • 敘述信件的外觀
    • 敘述攻擊者試圖讓收件人做什麼

採取的防禦措施

  • 提到已經採取或要求採取的防禦行動
    1. 電子郵件特徵封鎖(主旨、發送地址、發送伺服器IP)
    2. 網路特徵封鎖(URL、域名、IP)
    3. 檔案特徵封鎖(檔案名稱、檔案雜湊值)
  • 常見方向
    1. 分析師能夠直接自行進行防禦措施。
    2. 分析師必須向資深分析師或其他部門請求採取防禦措施。
    3. 分析師提供給客戶報告,給企業 IT 部門參考。

分析過程、工具和結果

  • 報告中最詳細的部分
  • 實際評估惡意特徵對組織風險的地方
  • 範例
    • 是否為惡意 URL
    • 這個惡意檔案做什麼事情
      • 分步驟說明(參考沙箱掃描結果)
    • WHOIS 分析
  • 提供有關用來調查這些特徵的分析方法和工具的深入說明

特徵淨化

如果你寫的報告沒有淨化網址,會造成其他人誤點,可能同事或客戶或下載惡意程式導致威脅。

因此可以對 URL 和 IP 位址進行淨化:

  1. 在URL和IP位址中的「.」周圍加上「[]」,變成「[.]」。
  2. 將URL中的「tt」改為「xx」,使「http」變成「hxxp」。

例如:

大量 URL

太多 URL 不好處理,可以用 CyberChef 的 Defang IP Addresses 和Defang URL 來「自動化」。

https://gchq.github.io/CyberChef/#recipe=Defang_URL(true,true,true,'Valid%20domains%20and%20full%20URLs')&input=aHR0cDovL2ZlaWZlaS50dw&oenc=65001

image

https://gchq.github.io/CyberChef/#recipe=Defang_IP_Addresses()&input=OC44LjguOA&oenc=65001

image

結論

  • 實際評估惡意特徵對組織風險的地方
  • 提供足夠的細節
  • 提供希望採取的任何防禦措施的理由

報告注意事項

  1. 清晰性: 使用簡單明瞭的語言,避免過於技術性的術語。
  2. 結構性: 使用標題和子標題來組織你的報告。
  3. 客觀性: 陳述事實,避免主觀判斷。
  4. 完整性: 包含所有相關資訊,但避免不必要的細節。
  5. 行動導向: 提供明確的建議和下一步行動。

撰寫釣魚分析報告範例

案例來源

https://github.com/sbidy/MacroMilter/blob/master/test_mails/02_mail_with_infected_word_document.eml

電子郵件標頭與特徵

電子郵件標頭

附件

  • 檔案名稱: rechnung_-postmaster 789.doc

電子郵件內容描述

這封電子郵件偽裝成一個名叫Craig Dawson的人發送的正常商業通信。郵件內容聲稱附加了一個包含最近50筆交易和當前帳戶餘額的試算表。郵件使用了禮貌的語氣和專業的格式,試圖讓收件人相信這是一封合法的郵件。

然而,有幾個可疑的跡象表明這可能是一封釣魚郵件:

  1. 寄件者的電子郵件地址來自一個不常見的域名(sbb.rs)。
  2. 附件是一個.doc檔案,而非試算表檔案(.xls或.xlsx)。
  3. 郵件主旨僅為"Re:",這不符合郵件內容的重要性。

附件分析

附件"rechnung_-postmaster 789.doc"是一個Microsoft Word文檔。經過初步分析,發現:

  1. 檔案名稱中的"rechnung"是德語中"發票"的意思,與郵件內容提到的試算表不符。
  2. 檔案實際上是一個XML格式的文檔,偽裝成.doc檔案。
  3. 文檔中包含了可能用於執行惡意行為的巨集或其他嵌入式內容。

建議在安全的沙盒環境中進行更深入的分析,以確定檔案的具體威脅。

風險評估

基於以上分析,我們認為:

  1. 這封電子郵件很可能是一封釣魚郵件,試圖誘騙收件人打開惡意附件。
  2. 附件可能包含惡意程式碼,如果在未受保護的環境中打開,可能會導致系統感染或資料洩露。

建議採取的防禦措施

  1. 郵件過濾: 在郵件閘道上封鎖來自寄件者地址 DawsonCraig0460@sbb.rs 的郵件。
  2. 附件隔離: 設定郵件安全系統自動隔離所有包含.doc附件的可疑郵件。
  3. 域名封鎖: 在網路代理上封鎖與寄件者相關的可疑域名 sbb.rs。
  4. 使用者教育: 提醒員工注意此類釣魚郵件的特徵,不要打開來歷不明的附件。
  5. 系統更新: 確保所有系統和軟體都已安裝最新的安全更新,以防範可能的惡意軟體感染。

結論

這封電子郵件展現了典型的釣魚攻擊手法,試圖通過偽裝成正常商業通信來誘騙收件人執行危險操作。建議立即採取上述防禦措施,並持續監控類似的攻擊模式。

總結

本文介紹了網路釣魚攻擊的普遍性和嚴重性,並提出了一系列技術和管理措施來應對這種威脅。主要內容包括:

  • 網路釣魚攻擊的特點:普遍、多樣化、難以偵測,且針對組織中的任何人。
  • 技術控制措施:部署電子郵件安全協定(SPF、DKIM、DMARC)、郵件安全閘道器、封鎖已知惡意網站和檔案等。
  • 管理控制措施:提升員工安全意識、針對高階主管進行專門培訓、標記外部電子郵件、實施資料遺失防護(DLP)策略、建立網路釣魚事件的應變流程等。
  • 釣魚郵件分析與報告撰寫方法:包括電子郵件標頭分析、內容描述、採取的防禦措施、分析過程和結果等。
  • 特徵淨化:對URL和IP地址進行處理,以防止誤觸。

文章強調,只有將技術控制與管理控制措施相結合,才能有效降低網路釣魚攻擊帶來的風險,保障組織安全。

選擇題與解析

  1. 下列哪項不是文中提到的電子郵件安全協定?
    A) SPF
    B) DKIM
    C) DMARC
    D) HTTPS

    答案:D
    解析:文章中提到的電子郵件安全協定包括SPF、DKIM和DMARC。HTTPS是用於安全網頁傳輸的協定,不是專門用於電子郵件安全的。

  2. 根據文章,以下哪項不是有效的網路釣魚防禦管理措施?
    A) 提升員工安全意識
    B) 針對高階主管進行專門培訓
    C) 禁止員工使用個人電子郵件
    D) 標記外部電子郵件

    答案:C
    解析:文章中沒有提到禁止員工使用個人電子郵件作為防禦措施。相反,文章強調了提升員工安全意識、針對高階主管進行專門培訓和標記外部電子郵件等措施的重要性。

  3. 在撰寫釣魚分析報告時,以下哪項不需要包含在電子郵件標頭分析中?
    A) 寄件者電子郵件地址
    B) 發送伺服器IP
    C) 郵件內容摘要
    D) 主旨

    答案:C
    解析:根據文章,電子郵件標頭分析應包括寄件者地址、發送伺服器IP、主旨等資訊,但不包括郵件內容摘要。郵件內容描述是報告的另一個部分。

  4. 在進行特徵淨化時,應該如何處理URL中的"http"?
    A) 將其改為"htxp"
    B) 將其改為"hxxp"
    C) 保持不變
    D) 將其刪除

    答案:B
    解析:文章提到,在進行特徵淨化時,應將URL中的"http"改為"hxxp",以防止誤觸。

  5. 以下哪項不是文章中提到的釣魚郵件分析報告的主要部分?
    A) 電子郵件標頭與特徵
    B) 電子郵件內容描述
    C) 採取的防禦措施
    D) 攻擊者背景調查

    答案:D
    解析:文章提到的釣魚郵件分析報告主要部分包括電子郵件標頭與特徵、內容描述、採取的防禦措施等,但沒有提到需要進行攻擊者背景調查。

企業藍隊的下一步行動

企業藍隊應該採取以下步驟:

  1. 評估現有的技術控制措施:檢查是否已部署SPF、DKIM、DMARC等電子郵件安全協定,以及郵件安全閘道器的效能。
  2. 加強管理控制措施:
    • 制定並實施全面的員工安全意識培訓計劃,特別注重網路釣魚攻擊的識別和預防。
    • 為高階主管設計專門的網路安全培訓課程,重點關注"捕鯨攻擊"。
    • 實施外部電子郵件標記系統。
    • 建立或優化資料遺失防護(DLP)策略。
  3. 制定詳細的網路釣魚事件應變流程:包括事件報告、調查、證據收集、影響評估和補救措施等步驟。
  4. 建立釣魚郵件分析和報告的標準化流程:包括電子郵件標頭分析、內容描述、防禦措施建議等。
  5. 實施特徵淨化流程:為分析人員提供工具和培訓,確保在報告中正確處理URL和IP地址。
  6. 定期進行模擬釣魚演練:測試員工的警惕性和應對能力,並根據結果調整培訓計劃。
  7. 持續更新威脅情報:關注最新的網路釣魚攻擊趨勢和技術,及時調整防禦策略。
  8. 建立跨部門合作機制:與IT、人力資源、法務等部門建立緊密合作,確保網路安全措施的全面實施。
  9. 定期評估和更新防禦措施:根據新出現的威脅和技術發展,持續優化技術和管理控制措施。
  10. 建立度量標準:開發關鍵績效指標(KPI)來衡量網路釣魚防禦措施的有效性,並定期向管理層報告。

上一篇
Day9:藍隊提升技術力: 網路釣魚分析(4)─實作分析釣魚網站
下一篇
Day11:藍隊提升技術力:威脅情報(1)─威脅情報在現代資安中的應用與策略
系列文
資安這條路:系統化學習藍隊技術30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言