[謝其祥 李莎]
習(xí)近平總書(shū)記在2018 年提出了“沒(méi)有網(wǎng)絡(luò)安全就是沒(méi)有國(guó)家安全”的核心理念,將網(wǎng)絡(luò)安全提升至國(guó)家戰(zhàn)略層面。在數(shù)字化技術(shù)滲透到我們生活的方方面面的今天,在網(wǎng)上購(gòu)物、在線(xiàn)支付、即時(shí)聊天、傳送文件資料的時(shí)候,網(wǎng)絡(luò)安全便已時(shí)刻保護(hù)著我們的個(gè)人及財(cái)產(chǎn)安全。網(wǎng)絡(luò)安全已然成為我們工作、生活、學(xué)習(xí)離不開(kāi)的話(huà)題。
“人”是網(wǎng)絡(luò)安全最大的威脅,“人”的脆弱性漏洞是破壞性及影響力最大的漏洞,因此,網(wǎng)絡(luò)釣魚(yú)這一針對(duì)“人”的攻擊至今仍愈演愈烈。但是在較多的網(wǎng)絡(luò)安全報(bào)告中并未發(fā)現(xiàn)關(guān)于“人”這一方面的威脅分析和研究的防御措施,認(rèn)為“人”不用防或難以防范而不作為。
網(wǎng)絡(luò)釣魚(yú)攻擊是針對(duì)個(gè)人進(jìn)行的利用人性弱點(diǎn)的入侵攻擊,然而“人”卻是網(wǎng)絡(luò)安全體系中最脆弱的一環(huán),網(wǎng)絡(luò)安全建設(shè)應(yīng)警惕“短板效應(yīng)”,防范“黑天鵝”事件。
在零信任機(jī)制中,“一切輸入都是不可信任的,一切都須驗(yàn)證”是零信任的核心。在“人”這方面的管控,也應(yīng)參考零信任機(jī)制的理念,一切人員須納入網(wǎng)絡(luò)安全框架內(nèi)進(jìn)行驗(yàn)證并審計(jì),加以技術(shù)控制以降低風(fēng)險(xiǎn)。
郵件安全廠(chǎng)商Mimecast 發(fā)布的《The State of Email Security 2022》報(bào)告中指出,“2021 年數(shù)據(jù)泄露事件飆升,網(wǎng)絡(luò)釣魚(yú)是最大的罪魁禍?zhǔn)祝?6%的數(shù)據(jù)泄露,至少部分原因是因?yàn)橥ㄟ^(guò)網(wǎng)絡(luò)釣魚(yú)竊取了員工的憑證,其中96%是通過(guò)電子郵件發(fā)生的?!薄?6%的公司已經(jīng)成為郵件釣魚(yú)攻擊的目標(biāo)”,如圖1 所示,這說(shuō)明了網(wǎng)絡(luò)釣魚(yú)攻擊已然成為了成本低但收益高、回報(bào)率高的攻擊手段,而且不易被追溯。網(wǎng)絡(luò)釣魚(yú)攻擊利用“廣撒網(wǎng)”的手段,屢屢得手,成為了目前急需防御的網(wǎng)絡(luò)攻擊之一。
圖1 網(wǎng)絡(luò)釣魚(yú)事件統(tǒng)計(jì)
釣魚(yú)攻擊是針對(duì)人性缺點(diǎn)進(jìn)行滲透突破的,人在未受到專(zhuān)業(yè)培訓(xùn)的情況下,容易受到自身的恐懼心理、服從心理、貪婪心理、好奇心理、同情心理等的驅(qū)使,點(diǎn)擊或下載攻擊者精心設(shè)計(jì)好的釣魚(yú)“鉤子”從而上當(dāng)受騙,如釣魚(yú)網(wǎng)站對(duì)個(gè)人憑證的竊取、釣魚(yú)郵件的木馬附件、釣魚(yú)短信的木馬下載鏈接以及釣魚(yú)電話(huà)的人員操縱等。
在大多數(shù)的網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)安全的解決方案中,都僅闡述了邏輯技術(shù)方面的研究,并未在如何預(yù)防內(nèi)部人員被社會(huì)工程學(xué)攻擊的方面作詳細(xì)、長(zhǎng)期且持久的研究和統(tǒng)計(jì),在網(wǎng)絡(luò)安全建設(shè)中,應(yīng)警惕“短板效應(yīng)”的發(fā)生。人是網(wǎng)絡(luò)安全的建設(shè)者,也是摧毀網(wǎng)絡(luò)安全措施的破壞者。如果攻擊者利用釣魚(yú)攻擊,對(duì)內(nèi)部人員進(jìn)行社會(huì)工程學(xué)攻擊,從而輕而易舉地獲得密鑰、系統(tǒng)口令、內(nèi)部敏感數(shù)據(jù)、商業(yè)機(jī)密等數(shù)據(jù)資產(chǎn),那么攻擊者便不會(huì)花費(fèi)大量時(shí)間、人力和資金去突破組織精心部署的各種防火墻、IDS、IPS、數(shù)據(jù)防泄露系統(tǒng)等的縱深防御措施。
什么是釣魚(yú)郵件?釣魚(yú)郵件指精心設(shè)計(jì)的偽裝特定人員或特定平臺(tái)系統(tǒng)、攜帶病毒木馬等惡意代碼、發(fā)送給目標(biāo)人員或人群的難以追溯的惡意郵件。
釣魚(yú)郵件一般有如下特點(diǎn):
(1)有壓縮的附件。攻擊者喜歡使用將特洛伊木馬等惡意代碼壓縮成ZIP 格式,以躲避殺毒軟件等匹配惡意特征碼機(jī)制的查殺。而且附件解壓后的文件格式是.com、.exe、.bat 等可執(zhí)行文件格式。
(2)郵件內(nèi)容所傳達(dá)事情是時(shí)間緊迫、緊急或投人所好的,釣魚(yú)郵件最經(jīng)典的手段就是利用人的心理學(xué)特點(diǎn)。當(dāng)一封郵件發(fā)送過(guò)來(lái),寫(xiě)著①“您的企業(yè)郵箱133*****888 賬號(hào)疑似被他人盜取,為了您的財(cái)產(chǎn)安全,請(qǐng)收到郵件5 分鐘內(nèi)下載附件并按要求操作,否則逾期自負(fù)!”是利用人的恐懼心理以及損失厭惡心理,是一種魚(yú)叉式釣魚(yú)(Spear Phishing),如圖3 所示。②“根據(jù)《***通知》的規(guī)定,公司將對(duì)2021 年7 月前在職員工進(jìn)行2021 年的績(jī)效補(bǔ)貼發(fā)放,收到郵件后,請(qǐng)及時(shí)填寫(xiě)個(gè)人銀行卡賬號(hào)及手機(jī)號(hào),并掃描二維碼按操作提示,逾期不再受理,請(qǐng)知悉!”是利用了人的貪婪和對(duì)權(quán)威信任的心理,如圖2 所示。
圖2 釣魚(yú)郵件的截圖
(3)郵件頭偽造利用,發(fā)件人偽裝成真實(shí)的郵件域名,或者僅有細(xì)微差別。如要偽裝@securecenter.cn,利用郵件頭偽造的方式可造出@secureeenter.cn、@sccurecenter.cn、@securecenter.com、@secure-center.cn 等極為相似的域名來(lái)欺騙收件人的雙眼。
怎么防御釣魚(yú)郵件?
(1)在郵件網(wǎng)關(guān)入口部署郵件防毒系統(tǒng)。在郵件網(wǎng)關(guān)部署防毒系統(tǒng)旨在結(jié)合安全廠(chǎng)商已有的殺毒程序?qū)︵]件病毒進(jìn)行攔截,對(duì)郵件不良敏感內(nèi)容進(jìn)行過(guò)濾,設(shè)定攔截及放行規(guī)則,通過(guò)安全驗(yàn)證后才轉(zhuǎn)發(fā)到郵件服務(wù)器,保證用戶(hù)的Email 安全。
(2)正確配置SMTP 郵件中繼的身份驗(yàn)證機(jī)制。因?yàn)獒烎~(yú)郵件發(fā)送者并不想暴露其來(lái)源信息以免被追溯,所以釣魚(yú)郵件發(fā)送者會(huì)尋找完全開(kāi)放的郵件中繼并轉(zhuǎn)發(fā)釣魚(yú)郵件。對(duì)郵件中繼正確配置,在接收和轉(zhuǎn)發(fā)前需對(duì)發(fā)件人進(jìn)行身份驗(yàn)證。如果郵件中繼默認(rèn)設(shè)置為“完全開(kāi)放”,則郵件服務(wù)器會(huì)接收任何郵件并發(fā)送給任意指定的接收者。
(3)使用SPF(Sender Policy Framework)技術(shù)配置電子郵件系統(tǒng)。SPF 通過(guò)對(duì)每封進(jìn)入服務(wù)器的電子郵件進(jìn)行驗(yàn)證,來(lái)防止釣魚(yú)郵件偽造郵件地址。
(4)沙盒機(jī)制。在郵件網(wǎng)關(guān)接入郵件沙盒,郵件網(wǎng)關(guān)檢測(cè)到有附件或鏈接時(shí)候,必須先將所有附件或鏈接剝離并發(fā)送到郵件沙盒,在沙盒的隔離環(huán)境下打開(kāi)附件并運(yùn)行或點(diǎn)擊鏈接訪(fǎng)問(wèn),對(duì)代碼行為進(jìn)行動(dòng)態(tài)分析,辨別出惡意附件及惡意鏈接,并將結(jié)果返回給郵件網(wǎng)關(guān)。郵件網(wǎng)關(guān)必須等待沙盒的辨別信息后,才能對(duì)該郵件執(zhí)行攔截或放行的操作。
(5)進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊的專(zhuān)題培訓(xùn)和安全意識(shí)宣貫。對(duì)員工進(jìn)行網(wǎng)絡(luò)釣魚(yú)的培訓(xùn)和提升員工的安全意識(shí)并達(dá)到預(yù)期效果,對(duì)于網(wǎng)絡(luò)釣魚(yú)攻擊來(lái)說(shuō)是致命的。因?yàn)榫W(wǎng)絡(luò)釣魚(yú)歸根結(jié)底就是利用人性漏洞和社會(huì)工程學(xué)伎倆,譬如恐懼心理、服從心理、損失厭惡心理、貪婪心理等。簡(jiǎn)而言之,網(wǎng)絡(luò)釣魚(yú)就是利用人性漏洞驅(qū)使受害者按照攻擊者意圖進(jìn)行一系列操作以達(dá)到攻擊者預(yù)期目標(biāo)的手段。即使無(wú)任何防釣魚(yú)技術(shù)的防護(hù),只要人不被釣魚(yú)所欺騙,網(wǎng)絡(luò)釣魚(yú)也不過(guò)是飯后余談而已。
釣魚(yú)網(wǎng)站參照目標(biāo)合法網(wǎng)站的外觀(guān),偽造成與其非常相似的精心設(shè)計(jì)的網(wǎng)站,并通過(guò)社會(huì)工程學(xué)伎倆誘導(dǎo)受害者訪(fǎng)問(wèn)該偽裝網(wǎng)站。受害者在以假亂真的界面輸入賬號(hào)密碼、銀行賬號(hào)等敏感信息后,個(gè)人財(cái)產(chǎn)安全甚至人身安全便已受到了威脅。釣魚(yú)網(wǎng)站一般跟金錢(qián)利益、身份信息盜用有關(guān),所以各大銀行、銀聯(lián)、支付寶、微信、QQ、翼支付等的官網(wǎng)是釣魚(yú)網(wǎng)站的目標(biāo)所在。
釣魚(yú)網(wǎng)站的攻擊成本低,所獲利潤(rùn)高,導(dǎo)致了釣魚(yú)網(wǎng)站的投資回報(bào)率(Return On Investment,ROI)高。偽裝金融網(wǎng)站的投資回報(bào)率高是釣魚(yú)網(wǎng)站至今愈演愈烈的根本原因之一。
那么人們是怎么誤入釣魚(yú)網(wǎng)站的?主要有以下4 種方式:
(1)搜索引擎優(yōu)化(Search Engine Optimization,SEO)技術(shù):利用搜索引擎的排名規(guī)則,提高網(wǎng)站在有關(guān)搜索引擎內(nèi)的自然排名。黑客為了提升釣魚(yú)網(wǎng)站的點(diǎn)擊率,使用SEO 技術(shù)這把雙刃劍,將釣魚(yú)網(wǎng)站推向人們的視野,用于釣魚(yú)目的SEO 技術(shù)又稱(chēng)為黑客SEO 技術(shù)。當(dāng)在搜索引擎的搜索結(jié)果列表同一頁(yè)中同時(shí)出現(xiàn)了釣魚(yú)網(wǎng)站和官方網(wǎng)站的時(shí)候,人們點(diǎn)擊釣魚(yú)網(wǎng)站并受騙的事件也就成為了一定概率的事件。
(2)超鏈接欺騙?!把垡?jiàn)不一定為真”,釣魚(yú)網(wǎng)站利用了超鏈接“表里不一”的特點(diǎn)。因?yàn)槌溄拥脑嘏c鏈接是分開(kāi)的,給元素賦予的鏈接卻可與元素?zé)o任何關(guān)聯(lián)。譬如一個(gè)超鏈接的元素看起來(lái)非常正式正規(guī)、甚至與官方網(wǎng)站URL 一模一樣,可是隱藏在元素底下的鏈接卻極有可能是釣魚(yú)網(wǎng)站或惡意網(wǎng)站的網(wǎng)址。釣魚(yú)郵件內(nèi)容附加的超鏈接極有可能是利用超鏈接欺騙技術(shù),讓受害者跳轉(zhuǎn)至釣魚(yú)網(wǎng)站。
(3)短網(wǎng)址隱藏?!安虏挛沂钦l(shuí)”,黑客利用短網(wǎng)址平臺(tái)將釣魚(yú)網(wǎng)站地址轉(zhuǎn)換成平臺(tái)統(tǒng)一的、真假難分的短網(wǎng)址。當(dāng)受害者收到指向釣魚(yú)網(wǎng)站的短網(wǎng)址,再輔以社會(huì)工程學(xué)攻擊,利用受害者的人性漏洞誘導(dǎo)其打開(kāi)短鏈接。短網(wǎng)址是把雙刃劍,短網(wǎng)址本是用于營(yíng)銷(xiāo)手段或用于規(guī)避博客、短信等平臺(tái)對(duì)于字?jǐn)?shù)的限制,現(xiàn)在被用于釣魚(yú)詐騙攻擊的誘導(dǎo)手段,短網(wǎng)址也被用于其他攻擊的輔助手段,如跨站腳本XSS、跨站請(qǐng)求偽造CSRF 等網(wǎng)絡(luò)攻擊。
(4)DNS 欺騙。DNS 解析是將網(wǎng)站域名解析成IP地址的過(guò)程,DNS 欺騙是使用中間人(MitM)攻擊的概念和DNS 解析的流程來(lái)破壞整個(gè)正常的DNS 解析過(guò)程。用戶(hù)輸入域名,計(jì)算機(jī)首先訪(fǎng)問(wèn)C:WindowsSystem32driversetc 目錄下的hosts 文件,如果有靜態(tài)映射解析,則不再向DNS 服務(wù)器發(fā)送域名解析請(qǐng)求。否則發(fā)送DNS 解析請(qǐng)求到DNS 服務(wù)器解析。因?yàn)镈NS 服務(wù)器響應(yīng)請(qǐng)求需要一定時(shí)間,這時(shí)候只要攻擊者在DNS 服務(wù)器響應(yīng)之前將偽造的DNS 響應(yīng)發(fā)送回主機(jī)就可達(dá)到DNS 欺騙效果。所以DNS 欺騙使用的方法有:①病毒非法篡改hosts 文件。② 進(jìn)行DNS 響應(yīng)的劫持。③DNS 緩存毒化。
防御釣魚(yú)網(wǎng)站方法如下:
(1)仔細(xì)核對(duì)網(wǎng)站域名,真實(shí)域名與釣魚(yú)域名極可能僅有一符號(hào)之差。
(2)對(duì)于郵件中的超鏈接,使用鼠標(biāo)“懸?!狈绞交蜻x中超鏈接并復(fù)制鏈接地址來(lái)識(shí)別鏈接的真實(shí)URL,如圖3 所示。
圖3 鼠標(biāo)“懸?!弊R(shí)別
(3)對(duì)于短信中的短網(wǎng)址或安全性未知的二維碼,非必要不點(diǎn)擊或掃描。
(4)驗(yàn)證網(wǎng)站是否有X.509 數(shù)字證書(shū),如有則核實(shí)簽發(fā)的CA 是否可信、數(shù)字證書(shū)是否處于過(guò)期注銷(xiāo)狀態(tài)。對(duì)于持非可信CA 簽發(fā)的數(shù)字證書(shū)或無(wú)數(shù)字證書(shū)的網(wǎng)站,應(yīng)進(jìn)一步甄別其是否為釣魚(yú)網(wǎng)站。
釣魚(yú)郵件的危害在哪?是郵件的內(nèi)容還是郵件的附件或鏈接??jī)?nèi)容和附件都是攻擊者精心設(shè)計(jì)的陷阱,郵件內(nèi)容本身并無(wú)害處,只是利用了社會(huì)工程學(xué)的人性漏洞,讓你堅(jiān)信這是一封真實(shí)且緊迫緊急的郵件,從而下載附件并按指示運(yùn)行附件或執(zhí)行其他操作。
什么是沙盒?沙盒是一個(gè)與物理環(huán)境隔離的虛擬環(huán)境,用于運(yùn)行未經(jīng)測(cè)試的或信任程度未知的代碼或鏈接,猶如虛擬機(jī)中運(yùn)行病毒木馬并溯源一樣,在沙盒環(huán)境運(yùn)行任何惡意代碼均在可控范圍內(nèi),不會(huì)污染其他內(nèi)存或感染其他主機(jī)。
對(duì)比已有的網(wǎng)關(guān)防病毒系統(tǒng),沙盒技術(shù)能分析惡意代碼的種類(lèi)更多,并不僅僅限于已知的病毒種類(lèi),還能發(fā)現(xiàn)0day 病毒、木馬及其變種類(lèi)型、邏輯炸彈等惡意代碼和自動(dòng)識(shí)別郵件攜帶的惡意鏈接,通過(guò)模仿人的操作結(jié)合惡意軟件行為分析,發(fā)現(xiàn)惡意代碼從而攔截釣魚(yú)郵件。
對(duì)新出現(xiàn)的加密、加殼、變種病毒木馬,網(wǎng)關(guān)防病毒系統(tǒng)可能因?yàn)樘卣鞔a庫(kù)沒(méi)有及時(shí)更新導(dǎo)致無(wú)法通過(guò)特征指紋匹配識(shí)別0day 或1day 惡意代碼,而且防病毒系統(tǒng)的特征庫(kù)需要及時(shí)更新,否則形同虛設(shè)。沙盒技術(shù)站在更高的角度,在模擬人的操作層上打開(kāi)并點(diǎn)擊、運(yùn)行郵件附件或惡意鏈接,縱使其千變?nèi)f化,在沙盒運(yùn)行的惡意代碼動(dòng)態(tài)行為將會(huì)彰顯無(wú)遺,如圖4 所示,惡意代碼的破壞行為通常集中在這幾種行為內(nèi),所以通過(guò)惡意行為分析即可研判其是否釣魚(yú)郵件。
圖4 病毒的破壞行為統(tǒng)計(jì)
釣魚(yú)郵件的危害主要在于附件、鏈接背后隱藏的陰謀。只要在釣魚(yú)郵件到達(dá)郵件網(wǎng)關(guān)后、人們收到郵件之前,通過(guò)沙盒技術(shù)運(yùn)行郵件的附件并對(duì)其的動(dòng)態(tài)行為進(jìn)行分析,沙盒識(shí)別攔截系統(tǒng)將分析結(jié)果返回給郵件網(wǎng)關(guān),郵件網(wǎng)關(guān)根據(jù)沙盒返回的檢測(cè)分析結(jié)果對(duì)郵件放行或攔截丟棄。攔截疑似釣魚(yú)郵件后,發(fā)送郵件被攔截的通知給用戶(hù),通過(guò)用戶(hù)的反饋信息促進(jìn)沙盒攔截系統(tǒng)降低其對(duì)釣魚(yú)郵件的錯(cuò)誤接受率FAR 及錯(cuò)誤拒絕率FRR,如圖5 所示,迭代優(yōu)化。
圖5 FAR 與FRR 的關(guān)系
應(yīng)用沙盒技術(shù)是為了彌補(bǔ)傳統(tǒng)的釣魚(yú)附件靜態(tài)掃描分析的缺陷,在惡意代碼的運(yùn)行階段對(duì)其動(dòng)態(tài)行為進(jìn)行監(jiān)測(cè)和分析,能發(fā)現(xiàn)加密、加殼、變種的病毒木馬、蠕蟲(chóng)、邏輯炸彈等惡意代碼,對(duì)釣魚(yú)郵件有效攔截。在沙盒中運(yùn)行任意代碼并不會(huì)對(duì)物理主機(jī)造成任何威脅。
如圖6 和圖8 所示,安全性未知的郵件到達(dá)郵件網(wǎng)關(guān),先剝離郵件附件或鏈接,并將其發(fā)送至沙盒識(shí)別攔截系統(tǒng),通過(guò)沙盒攔截系統(tǒng)對(duì)代碼的行為監(jiān)測(cè)和分析,將動(dòng)態(tài)行為的分析和判斷結(jié)果返回郵件網(wǎng)關(guān),由其負(fù)責(zé)攔截或轉(zhuǎn)發(fā)郵件。
圖6 機(jī)制流程圖
圖7 功能架構(gòu)圖
圖8 部署拓?fù)鋱D
攔截釣魚(yú)郵件后,應(yīng)將攔截該郵件的通知告知收件人,由收件人將不正常的情況反饋給管理員,例如正常郵件被沙盒系統(tǒng)攔截或釣魚(yú)郵件繞過(guò)沙盒攔截系統(tǒng)的實(shí)際情況。這種“反饋-調(diào)整”機(jī)制將促使沙盒攔截系統(tǒng)特對(duì)具體情況調(diào)整策略,降低沙盒攔截系統(tǒng)對(duì)釣魚(yú)郵件的錯(cuò)誤接受率FAR 和對(duì)正常郵件的錯(cuò)誤拒絕率FRR。
如圖7 的功能架構(gòu)圖所示,在惡意代碼運(yùn)行后,會(huì)發(fā)生一系列操作行為,如文件的增、刪、改、替換,注冊(cè)表的添加、修改和刪除,還有更重要的是惡意代碼的網(wǎng)絡(luò)活動(dòng),木馬在運(yùn)行后需要反向連接外部地址,會(huì)開(kāi)啟動(dòng)態(tài)端口與外部IP 建立連接等等。
這些惡意行為都可以使用各種類(lèi)型的日志記錄,在日志采集之后將各類(lèi)日志發(fā)送到日志分析模塊和惡意行為指紋庫(kù)模塊比對(duì),結(jié)合動(dòng)態(tài)行為分析模塊和攔截過(guò)濾規(guī)則,分析和判斷該郵件附件是否惡意代碼,從而得出郵件是否釣魚(yú)郵件的結(jié)論。
相對(duì)于現(xiàn)有的釣魚(yú)郵件病毒特征碼靜態(tài)掃描技術(shù)而言,基于沙盒技術(shù)識(shí)別并攔截釣魚(yú)郵件的方案具有如下顯著優(yōu)點(diǎn):
(1)檢測(cè)范圍更廣。因?yàn)槭腔诖a運(yùn)行所產(chǎn)生的行為檢測(cè)的,不僅僅基于病毒,還可以檢測(cè)木馬、蠕蟲(chóng)、邏輯炸彈、細(xì)菌、間諜軟件等等。因?yàn)樯澈凶R(shí)別攔截系統(tǒng)是通過(guò)采集惡意代碼的動(dòng)態(tài)行為,經(jīng)過(guò)日志分析、行為分析并與惡意行為指紋庫(kù)比對(duì),這一系列的操作之后所下的結(jié)論結(jié)果來(lái)作為其是否釣魚(yú)郵件的依據(jù)。所以不管惡意代碼的形式是怎樣的,只要它對(duì)系統(tǒng)、內(nèi)存或網(wǎng)絡(luò)進(jìn)行有意破壞或執(zhí)行其他惡意行為,那么基于動(dòng)態(tài)行為分析的沙盒攔截分析系統(tǒng)就能對(duì)其進(jìn)行監(jiān)測(cè)和審計(jì)。
(2)惡意代碼檢測(cè)更精準(zhǔn)。在目前用于掃描郵件附件的病毒掃描技術(shù)來(lái)看,一般都是基于掃描代碼并匹配病毒特征庫(kù)的特征碼來(lái)判斷是否病毒。這種病毒掃描技術(shù)有局限性,一是惡意代碼特征庫(kù)需要人員及時(shí)更新,維護(hù)成本高;二是病毒特征庫(kù)容易被繞過(guò),如惡意代碼通過(guò)加密、加殼或變種來(lái)繞過(guò)病毒特征庫(kù)。
正所謂“萬(wàn)變不離其宗”,不管惡意代碼怎么變,始終都是以破壞環(huán)境、竊取敏感數(shù)據(jù)、隱藏身份、錢(qián)財(cái)詐騙勒索等等為目的,而沙盒攔截系統(tǒng)關(guān)注的是惡意代碼的動(dòng)態(tài)破壞行為而非代碼特征本身,降低了由于惡意代碼的形態(tài)千變?nèi)f化而被繞過(guò)的安全風(fēng)險(xiǎn)。
(3)沙盒“試毒”不會(huì)對(duì)內(nèi)網(wǎng)環(huán)境造成破壞。沙盒本身就是隔離的虛擬環(huán)境,與物理環(huán)境分隔,惡意代碼對(duì)沙盒進(jìn)行的肆意破壞一般不會(huì)對(duì)其他內(nèi)存或主機(jī)造成任何影響。
(4)減少維護(hù)成本。病毒掃描所依賴(lài)的惡意代碼特征庫(kù)隨著新病毒、新變種的增加而需要不停地更新病毒特征庫(kù),維護(hù)成本持續(xù)高昂。與病毒特征庫(kù)不同的是,惡意代碼的動(dòng)態(tài)行為指紋庫(kù)相對(duì)固定、穩(wěn)定,如圖4 所示,病毒的破壞行為主要集中在那幾種破壞行為。因?yàn)閻阂獯a的破壞路徑或其目的企圖是較固定的、并不會(huì)多樣化,所以對(duì)動(dòng)態(tài)行為指紋庫(kù)的維護(hù)成本比較病毒特征碼庫(kù)的維護(hù)成本明顯降低了。
(5)由沙盒代替人來(lái)識(shí)別網(wǎng)絡(luò)釣魚(yú),可降低釣魚(yú)郵件給企業(yè)組織帶來(lái)的風(fēng)險(xiǎn)。機(jī)器無(wú)情,釣魚(yú)郵件所運(yùn)用的人性漏洞及社會(huì)工程學(xué)伎倆無(wú)法對(duì)機(jī)器施展。加之運(yùn)用沙盒監(jiān)測(cè)惡意代碼行為的方法,猶如上帝視角,黑暗一覽無(wú)遺。
本文從社會(huì)工程學(xué)、沙盒技術(shù)的角度,分析了網(wǎng)絡(luò)釣魚(yú)的場(chǎng)景,剖析其所利用的技術(shù)、人性漏洞和社會(huì)工程學(xué)伎倆,針對(duì)網(wǎng)絡(luò)釣魚(yú)的具體場(chǎng)景提出具體的防御方法。
針對(duì)一般的郵件附件掃描技術(shù)存在的不足,提出利用沙盒的隔離特點(diǎn),使用沙盒先于用戶(hù)運(yùn)行郵件附件“試毒”的理念,通過(guò)監(jiān)測(cè)代碼運(yùn)行后的動(dòng)態(tài)行為,由行為現(xiàn)象判斷附件是否惡意代碼,從而識(shí)別并攔截釣魚(yú)郵件。最后提出了結(jié)合沙盒技術(shù)識(shí)別攔截釣魚(yú)郵件的理念及思路、技術(shù)架構(gòu)及方案框架。