基于沙盒技術(shù)及社會(huì)工程學(xué)角度分析和防范釣魚(yú)攻擊的研究

［謝其祥 李莎］

1 引言

習(xí)近平總書(shū)記在2018 年提出了“沒(méi)有網(wǎng)絡(luò)安全就是沒(méi)有國(guó)家安全”的核心理念，將網(wǎng)絡(luò)安全提升至國(guó)家戰(zhàn)略層面。在數(shù)字化技術(shù)滲透到我們生活的方方面面的今天，在網(wǎng)上購(gòu)物、在線(xiàn)支付、即時(shí)聊天、傳送文件資料的時(shí)候，網(wǎng)絡(luò)安全便已時(shí)刻保護(hù)著我們的個(gè)人及財(cái)產(chǎn)安全。網(wǎng)絡(luò)安全已然成為我們工作、生活、學(xué)習(xí)離不開(kāi)的話(huà)題。

“人”是網(wǎng)絡(luò)安全最大的威脅，“人”的脆弱性漏洞是破壞性及影響力最大的漏洞，因此，網(wǎng)絡(luò)釣魚(yú)這一針對(duì)“人”的攻擊至今仍愈演愈烈。但是在較多的網(wǎng)絡(luò)安全報(bào)告中并未發(fā)現(xiàn)關(guān)于“人”這一方面的威脅分析和研究的防御措施，認(rèn)為“人”不用防或難以防范而不作為。

網(wǎng)絡(luò)釣魚(yú)攻擊是針對(duì)個(gè)人進(jìn)行的利用人性弱點(diǎn)的入侵攻擊，然而“人”卻是網(wǎng)絡(luò)安全體系中最脆弱的一環(huán)，網(wǎng)絡(luò)安全建設(shè)應(yīng)警惕“短板效應(yīng)”，防范“黑天鵝”事件。

在零信任機(jī)制中，“一切輸入都是不可信任的，一切都須驗(yàn)證”是零信任的核心。在“人”這方面的管控，也應(yīng)參考零信任機(jī)制的理念，一切人員須納入網(wǎng)絡(luò)安全框架內(nèi)進(jìn)行驗(yàn)證并審計(jì)，加以技術(shù)控制以降低風(fēng)險(xiǎn)。

郵件安全廠(chǎng)商Mimecast 發(fā)布的《The State of Email Security 2022》報(bào)告中指出，“2021 年數(shù)據(jù)泄露事件飆升，網(wǎng)絡(luò)釣魚(yú)是最大的罪魁禍?zhǔn)祝?6%的數(shù)據(jù)泄露，至少部分原因是因?yàn)橥ㄟ^(guò)網(wǎng)絡(luò)釣魚(yú)竊取了員工的憑證，其中96%是通過(guò)電子郵件發(fā)生的?！薄?6%的公司已經(jīng)成為郵件釣魚(yú)攻擊的目標(biāo)”，如圖1 所示，這說(shuō)明了網(wǎng)絡(luò)釣魚(yú)攻擊已然成為了成本低但收益高、回報(bào)率高的攻擊手段，而且不易被追溯。網(wǎng)絡(luò)釣魚(yú)攻擊利用“廣撒網(wǎng)”的手段，屢屢得手，成為了目前急需防御的網(wǎng)絡(luò)攻擊之一。

圖1 網(wǎng)絡(luò)釣魚(yú)事件統(tǒng)計(jì)

釣魚(yú)攻擊是針對(duì)人性缺點(diǎn)進(jìn)行滲透突破的，人在未受到專(zhuān)業(yè)培訓(xùn)的情況下，容易受到自身的恐懼心理、服從心理、貪婪心理、好奇心理、同情心理等的驅(qū)使，點(diǎn)擊或下載攻擊者精心設(shè)計(jì)好的釣魚(yú)“鉤子”從而上當(dāng)受騙，如釣魚(yú)網(wǎng)站對(duì)個(gè)人憑證的竊取、釣魚(yú)郵件的木馬附件、釣魚(yú)短信的木馬下載鏈接以及釣魚(yú)電話(huà)的人員操縱等。

在大多數(shù)的網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)安全的解決方案中，都僅闡述了邏輯技術(shù)方面的研究，并未在如何預(yù)防內(nèi)部人員被社會(huì)工程學(xué)攻擊的方面作詳細(xì)、長(zhǎng)期且持久的研究和統(tǒng)計(jì)，在網(wǎng)絡(luò)安全建設(shè)中，應(yīng)警惕“短板效應(yīng)”的發(fā)生。人是網(wǎng)絡(luò)安全的建設(shè)者，也是摧毀網(wǎng)絡(luò)安全措施的破壞者。如果攻擊者利用釣魚(yú)攻擊，對(duì)內(nèi)部人員進(jìn)行社會(huì)工程學(xué)攻擊，從而輕而易舉地獲得密鑰、系統(tǒng)口令、內(nèi)部敏感數(shù)據(jù)、商業(yè)機(jī)密等數(shù)據(jù)資產(chǎn)，那么攻擊者便不會(huì)花費(fèi)大量時(shí)間、人力和資金去突破組織精心部署的各種防火墻、IDS、IPS、數(shù)據(jù)防泄露系統(tǒng)等的縱深防御措施。

2 釣魚(yú)攻擊的場(chǎng)景及防御

2.1 釣魚(yú)郵件

什么是釣魚(yú)郵件？釣魚(yú)郵件指精心設(shè)計(jì)的偽裝特定人員或特定平臺(tái)系統(tǒng)、攜帶病毒木馬等惡意代碼、發(fā)送給目標(biāo)人員或人群的難以追溯的惡意郵件。

釣魚(yú)郵件一般有如下特點(diǎn)：

（1）有壓縮的附件。攻擊者喜歡使用將特洛伊木馬等惡意代碼壓縮成ZIP 格式，以躲避殺毒軟件等匹配惡意特征碼機(jī)制的查殺。而且附件解壓后的文件格式是.com、.exe、.bat 等可執(zhí)行文件格式。

（2）郵件內(nèi)容所傳達(dá)事情是時(shí)間緊迫、緊急或投人所好的，釣魚(yú)郵件最經(jīng)典的手段就是利用人的心理學(xué)特點(diǎn)。當(dāng)一封郵件發(fā)送過(guò)來(lái)，寫(xiě)著①“您的企業(yè)郵箱133*****888 賬號(hào)疑似被他人盜取，為了您的財(cái)產(chǎn)安全，請(qǐng)收到郵件5 分鐘內(nèi)下載附件并按要求操作，否則逾期自負(fù)！”是利用人的恐懼心理以及損失厭惡心理，是一種魚(yú)叉式釣魚(yú)（Spear Phishing），如圖3 所示。②“根據(jù)《***通知》的規(guī)定，公司將對(duì)2021 年7 月前在職員工進(jìn)行2021 年的績(jī)效補(bǔ)貼發(fā)放，收到郵件后，請(qǐng)及時(shí)填寫(xiě)個(gè)人銀行卡賬號(hào)及手機(jī)號(hào)，并掃描二維碼按操作提示，逾期不再受理，請(qǐng)知悉！”是利用了人的貪婪和對(duì)權(quán)威信任的心理，如圖2 所示。

圖2 釣魚(yú)郵件的截圖

（3）郵件頭偽造利用，發(fā)件人偽裝成真實(shí)的郵件域名，或者僅有細(xì)微差別。如要偽裝@securecenter.cn，利用郵件頭偽造的方式可造出@secureeenter.cn、@sccurecenter.cn、@securecenter.com、@secure-center.cn 等極為相似的域名來(lái)欺騙收件人的雙眼。

怎么防御釣魚(yú)郵件？

（1）在郵件網(wǎng)關(guān)入口部署郵件防毒系統(tǒng)。在郵件網(wǎng)關(guān)部署防毒系統(tǒng)旨在結(jié)合安全廠(chǎng)商已有的殺毒程序?qū)︵]件病毒進(jìn)行攔截，對(duì)郵件不良敏感內(nèi)容進(jìn)行過(guò)濾，設(shè)定攔截及放行規(guī)則，通過(guò)安全驗(yàn)證后才轉(zhuǎn)發(fā)到郵件服務(wù)器，保證用戶(hù)的Email 安全。

（2）正確配置SMTP 郵件中繼的身份驗(yàn)證機(jī)制。因?yàn)獒烎~(yú)郵件發(fā)送者并不想暴露其來(lái)源信息以免被追溯，所以釣魚(yú)郵件發(fā)送者會(huì)尋找完全開(kāi)放的郵件中繼并轉(zhuǎn)發(fā)釣魚(yú)郵件。對(duì)郵件中繼正確配置，在接收和轉(zhuǎn)發(fā)前需對(duì)發(fā)件人進(jìn)行身份驗(yàn)證。如果郵件中繼默認(rèn)設(shè)置為“完全開(kāi)放”，則郵件服務(wù)器會(huì)接收任何郵件并發(fā)送給任意指定的接收者。

（3）使用SPF（Sender Policy Framework）技術(shù)配置電子郵件系統(tǒng)。SPF 通過(guò)對(duì)每封進(jìn)入服務(wù)器的電子郵件進(jìn)行驗(yàn)證，來(lái)防止釣魚(yú)郵件偽造郵件地址。

（4）沙盒機(jī)制。在郵件網(wǎng)關(guān)接入郵件沙盒，郵件網(wǎng)關(guān)檢測(cè)到有附件或鏈接時(shí)候，必須先將所有附件或鏈接剝離并發(fā)送到郵件沙盒，在沙盒的隔離環(huán)境下打開(kāi)附件并運(yùn)行或點(diǎn)擊鏈接訪(fǎng)問(wèn)，對(duì)代碼行為進(jìn)行動(dòng)態(tài)分析，辨別出惡意附件及惡意鏈接，并將結(jié)果返回給郵件網(wǎng)關(guān)。郵件網(wǎng)關(guān)必須等待沙盒的辨別信息后，才能對(duì)該郵件執(zhí)行攔截或放行的操作。

（5）進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊的專(zhuān)題培訓(xùn)和安全意識(shí)宣貫。對(duì)員工進(jìn)行網(wǎng)絡(luò)釣魚(yú)的培訓(xùn)和提升員工的安全意識(shí)并達(dá)到預(yù)期效果，對(duì)于網(wǎng)絡(luò)釣魚(yú)攻擊來(lái)說(shuō)是致命的。因?yàn)榫W(wǎng)絡(luò)釣魚(yú)歸根結(jié)底就是利用人性漏洞和社會(huì)工程學(xué)伎倆，譬如恐懼心理、服從心理、損失厭惡心理、貪婪心理等。簡(jiǎn)而言之，網(wǎng)絡(luò)釣魚(yú)就是利用人性漏洞驅(qū)使受害者按照攻擊者意圖進(jìn)行一系列操作以達(dá)到攻擊者預(yù)期目標(biāo)的手段。即使無(wú)任何防釣魚(yú)技術(shù)的防護(hù)，只要人不被釣魚(yú)所欺騙，網(wǎng)絡(luò)釣魚(yú)也不過(guò)是飯后余談而已。

2.2 釣魚(yú)網(wǎng)站

釣魚(yú)網(wǎng)站參照目標(biāo)合法網(wǎng)站的外觀(guān)，偽造成與其非常相似的精心設(shè)計(jì)的網(wǎng)站，并通過(guò)社會(huì)工程學(xué)伎倆誘導(dǎo)受害者訪(fǎng)問(wèn)該偽裝網(wǎng)站。受害者在以假亂真的界面輸入賬號(hào)密碼、銀行賬號(hào)等敏感信息后，個(gè)人財(cái)產(chǎn)安全甚至人身安全便已受到了威脅。釣魚(yú)網(wǎng)站一般跟金錢(qián)利益、身份信息盜用有關(guān)，所以各大銀行、銀聯(lián)、支付寶、微信、QQ、翼支付等的官網(wǎng)是釣魚(yú)網(wǎng)站的目標(biāo)所在。

釣魚(yú)網(wǎng)站的攻擊成本低，所獲利潤(rùn)高，導(dǎo)致了釣魚(yú)網(wǎng)站的投資回報(bào)率（Return On Investment，ROI）高。偽裝金融網(wǎng)站的投資回報(bào)率高是釣魚(yú)網(wǎng)站至今愈演愈烈的根本原因之一。

那么人們是怎么誤入釣魚(yú)網(wǎng)站的？主要有以下4 種方式：

（1）搜索引擎優(yōu)化（Search Engine Optimization，SEO）技術(shù)：利用搜索引擎的排名規(guī)則，提高網(wǎng)站在有關(guān)搜索引擎內(nèi)的自然排名。黑客為了提升釣魚(yú)網(wǎng)站的點(diǎn)擊率，使用SEO 技術(shù)這把雙刃劍，將釣魚(yú)網(wǎng)站推向人們的視野，用于釣魚(yú)目的SEO 技術(shù)又稱(chēng)為黑客SEO 技術(shù)。當(dāng)在搜索引擎的搜索結(jié)果列表同一頁(yè)中同時(shí)出現(xiàn)了釣魚(yú)網(wǎng)站和官方網(wǎng)站的時(shí)候，人們點(diǎn)擊釣魚(yú)網(wǎng)站并受騙的事件也就成為了一定概率的事件。

（2）超鏈接欺騙?！把垡?jiàn)不一定為真”，釣魚(yú)網(wǎng)站利用了超鏈接“表里不一”的特點(diǎn)。因?yàn)槌溄拥脑嘏c鏈接是分開(kāi)的，給元素賦予的鏈接卻可與元素?zé)o任何關(guān)聯(lián)。譬如一個(gè)超鏈接的元素看起來(lái)非常正式正規(guī)、甚至與官方網(wǎng)站URL 一模一樣，可是隱藏在元素底下的鏈接卻極有可能是釣魚(yú)網(wǎng)站或惡意網(wǎng)站的網(wǎng)址。釣魚(yú)郵件內(nèi)容附加的超鏈接極有可能是利用超鏈接欺騙技術(shù)，讓受害者跳轉(zhuǎn)至釣魚(yú)網(wǎng)站。

（3）短網(wǎng)址隱藏?！安虏挛沂钦l(shuí)”，黑客利用短網(wǎng)址平臺(tái)將釣魚(yú)網(wǎng)站地址轉(zhuǎn)換成平臺(tái)統(tǒng)一的、真假難分的短網(wǎng)址。當(dāng)受害者收到指向釣魚(yú)網(wǎng)站的短網(wǎng)址，再輔以社會(huì)工程學(xué)攻擊，利用受害者的人性漏洞誘導(dǎo)其打開(kāi)短鏈接。短網(wǎng)址是把雙刃劍，短網(wǎng)址本是用于營(yíng)銷(xiāo)手段或用于規(guī)避博客、短信等平臺(tái)對(duì)于字?jǐn)?shù)的限制，現(xiàn)在被用于釣魚(yú)詐騙攻擊的誘導(dǎo)手段，短網(wǎng)址也被用于其他攻擊的輔助手段，如跨站腳本XSS、跨站請(qǐng)求偽造CSRF 等網(wǎng)絡(luò)攻擊。

（4）DNS 欺騙。DNS 解析是將網(wǎng)站域名解析成IP地址的過(guò)程，DNS 欺騙是使用中間人（MitM）攻擊的概念和DNS 解析的流程來(lái)破壞整個(gè)正常的DNS 解析過(guò)程。用戶(hù)輸入域名，計(jì)算機(jī)首先訪(fǎng)問(wèn)C:WindowsSystem32driversetc 目錄下的hosts 文件，如果有靜態(tài)映射解析，則不再向DNS 服務(wù)器發(fā)送域名解析請(qǐng)求。否則發(fā)送DNS 解析請(qǐng)求到DNS 服務(wù)器解析。因?yàn)镈NS 服務(wù)器響應(yīng)請(qǐng)求需要一定時(shí)間，這時(shí)候只要攻擊者在DNS 服務(wù)器響應(yīng)之前將偽造的DNS 響應(yīng)發(fā)送回主機(jī)就可達(dá)到DNS 欺騙效果。所以DNS 欺騙使用的方法有：①病毒非法篡改hosts 文件。② 進(jìn)行DNS 響應(yīng)的劫持。③DNS 緩存毒化。

防御釣魚(yú)網(wǎng)站方法如下：

（1）仔細(xì)核對(duì)網(wǎng)站域名，真實(shí)域名與釣魚(yú)域名極可能僅有一符號(hào)之差。

（2）對(duì)于郵件中的超鏈接，使用鼠標(biāo)“懸?！狈绞交蜻x中超鏈接并復(fù)制鏈接地址來(lái)識(shí)別鏈接的真實(shí)URL，如圖3 所示。

圖3 鼠標(biāo)“懸?！弊R(shí)別

（3）對(duì)于短信中的短網(wǎng)址或安全性未知的二維碼，非必要不點(diǎn)擊或掃描。

（4）驗(yàn)證網(wǎng)站是否有X.509 數(shù)字證書(shū)，如有則核實(shí)簽發(fā)的CA 是否可信、數(shù)字證書(shū)是否處于過(guò)期注銷(xiāo)狀態(tài)。對(duì)于持非可信CA 簽發(fā)的數(shù)字證書(shū)或無(wú)數(shù)字證書(shū)的網(wǎng)站，應(yīng)進(jìn)一步甄別其是否為釣魚(yú)網(wǎng)站。

3 應(yīng)用沙盒技術(shù)識(shí)別釣魚(yú)郵件

3.1 沙盒技術(shù)實(shí)現(xiàn)釣魚(yú)郵件自動(dòng)識(shí)別的原理及構(gòu)想

釣魚(yú)郵件的危害在哪？是郵件的內(nèi)容還是郵件的附件或鏈接？?jī)?nèi)容和附件都是攻擊者精心設(shè)計(jì)的陷阱，郵件內(nèi)容本身并無(wú)害處，只是利用了社會(huì)工程學(xué)的人性漏洞，讓你堅(jiān)信這是一封真實(shí)且緊迫緊急的郵件，從而下載附件并按指示運(yùn)行附件或執(zhí)行其他操作。

什么是沙盒？沙盒是一個(gè)與物理環(huán)境隔離的虛擬環(huán)境，用于運(yùn)行未經(jīng)測(cè)試的或信任程度未知的代碼或鏈接，猶如虛擬機(jī)中運(yùn)行病毒木馬并溯源一樣，在沙盒環(huán)境運(yùn)行任何惡意代碼均在可控范圍內(nèi)，不會(huì)污染其他內(nèi)存或感染其他主機(jī)。

對(duì)比已有的網(wǎng)關(guān)防病毒系統(tǒng)，沙盒技術(shù)能分析惡意代碼的種類(lèi)更多，并不僅僅限于已知的病毒種類(lèi)，還能發(fā)現(xiàn)0day 病毒、木馬及其變種類(lèi)型、邏輯炸彈等惡意代碼和自動(dòng)識(shí)別郵件攜帶的惡意鏈接，通過(guò)模仿人的操作結(jié)合惡意軟件行為分析，發(fā)現(xiàn)惡意代碼從而攔截釣魚(yú)郵件。

對(duì)新出現(xiàn)的加密、加殼、變種病毒木馬，網(wǎng)關(guān)防病毒系統(tǒng)可能因?yàn)樘卣鞔a庫(kù)沒(méi)有及時(shí)更新導(dǎo)致無(wú)法通過(guò)特征指紋匹配識(shí)別0day 或1day 惡意代碼，而且防病毒系統(tǒng)的特征庫(kù)需要及時(shí)更新，否則形同虛設(shè)。沙盒技術(shù)站在更高的角度，在模擬人的操作層上打開(kāi)并點(diǎn)擊、運(yùn)行郵件附件或惡意鏈接，縱使其千變?nèi)f化，在沙盒運(yùn)行的惡意代碼動(dòng)態(tài)行為將會(huì)彰顯無(wú)遺，如圖4 所示，惡意代碼的破壞行為通常集中在這幾種行為內(nèi)，所以通過(guò)惡意行為分析即可研判其是否釣魚(yú)郵件。

圖4 病毒的破壞行為統(tǒng)計(jì)

釣魚(yú)郵件的危害主要在于附件、鏈接背后隱藏的陰謀。只要在釣魚(yú)郵件到達(dá)郵件網(wǎng)關(guān)后、人們收到郵件之前，通過(guò)沙盒技術(shù)運(yùn)行郵件的附件并對(duì)其的動(dòng)態(tài)行為進(jìn)行分析，沙盒識(shí)別攔截系統(tǒng)將分析結(jié)果返回給郵件網(wǎng)關(guān)，郵件網(wǎng)關(guān)根據(jù)沙盒返回的檢測(cè)分析結(jié)果對(duì)郵件放行或攔截丟棄。攔截疑似釣魚(yú)郵件后，發(fā)送郵件被攔截的通知給用戶(hù)，通過(guò)用戶(hù)的反饋信息促進(jìn)沙盒攔截系統(tǒng)降低其對(duì)釣魚(yú)郵件的錯(cuò)誤接受率FAR 及錯(cuò)誤拒絕率FRR，如圖5 所示，迭代優(yōu)化。

圖5 FAR 與FRR 的關(guān)系

3.2 應(yīng)用沙盒自動(dòng)識(shí)別攔截釣魚(yú)郵件的方案

應(yīng)用沙盒技術(shù)是為了彌補(bǔ)傳統(tǒng)的釣魚(yú)附件靜態(tài)掃描分析的缺陷，在惡意代碼的運(yùn)行階段對(duì)其動(dòng)態(tài)行為進(jìn)行監(jiān)測(cè)和分析，能發(fā)現(xiàn)加密、加殼、變種的病毒木馬、蠕蟲(chóng)、邏輯炸彈等惡意代碼，對(duì)釣魚(yú)郵件有效攔截。在沙盒中運(yùn)行任意代碼并不會(huì)對(duì)物理主機(jī)造成任何威脅。

如圖6 和圖8 所示，安全性未知的郵件到達(dá)郵件網(wǎng)關(guān)，先剝離郵件附件或鏈接，并將其發(fā)送至沙盒識(shí)別攔截系統(tǒng)，通過(guò)沙盒攔截系統(tǒng)對(duì)代碼的行為監(jiān)測(cè)和分析，將動(dòng)態(tài)行為的分析和判斷結(jié)果返回郵件網(wǎng)關(guān)，由其負(fù)責(zé)攔截或轉(zhuǎn)發(fā)郵件。

圖6 機(jī)制流程圖

圖7 功能架構(gòu)圖

圖8 部署拓?fù)鋱D

攔截釣魚(yú)郵件后，應(yīng)將攔截該郵件的通知告知收件人，由收件人將不正常的情況反饋給管理員，例如正常郵件被沙盒系統(tǒng)攔截或釣魚(yú)郵件繞過(guò)沙盒攔截系統(tǒng)的實(shí)際情況。這種“反饋-調(diào)整”機(jī)制將促使沙盒攔截系統(tǒng)特對(duì)具體情況調(diào)整策略，降低沙盒攔截系統(tǒng)對(duì)釣魚(yú)郵件的錯(cuò)誤接受率FAR 和對(duì)正常郵件的錯(cuò)誤拒絕率FRR。

如圖7 的功能架構(gòu)圖所示，在惡意代碼運(yùn)行后，會(huì)發(fā)生一系列操作行為，如文件的增、刪、改、替換，注冊(cè)表的添加、修改和刪除，還有更重要的是惡意代碼的網(wǎng)絡(luò)活動(dòng)，木馬在運(yùn)行后需要反向連接外部地址，會(huì)開(kāi)啟動(dòng)態(tài)端口與外部IP 建立連接等等。

這些惡意行為都可以使用各種類(lèi)型的日志記錄，在日志采集之后將各類(lèi)日志發(fā)送到日志分析模塊和惡意行為指紋庫(kù)模塊比對(duì)，結(jié)合動(dòng)態(tài)行為分析模塊和攔截過(guò)濾規(guī)則，分析和判斷該郵件附件是否惡意代碼，從而得出郵件是否釣魚(yú)郵件的結(jié)論。

4 沙盒識(shí)別攔截釣魚(yú)郵件方案的優(yōu)勢(shì)分析

相對(duì)于現(xiàn)有的釣魚(yú)郵件病毒特征碼靜態(tài)掃描技術(shù)而言，基于沙盒技術(shù)識(shí)別并攔截釣魚(yú)郵件的方案具有如下顯著優(yōu)點(diǎn)：

（1）檢測(cè)范圍更廣。因?yàn)槭腔诖a運(yùn)行所產(chǎn)生的行為檢測(cè)的，不僅僅基于病毒，還可以檢測(cè)木馬、蠕蟲(chóng)、邏輯炸彈、細(xì)菌、間諜軟件等等。因?yàn)樯澈凶R(shí)別攔截系統(tǒng)是通過(guò)采集惡意代碼的動(dòng)態(tài)行為，經(jīng)過(guò)日志分析、行為分析并與惡意行為指紋庫(kù)比對(duì)，這一系列的操作之后所下的結(jié)論結(jié)果來(lái)作為其是否釣魚(yú)郵件的依據(jù)。所以不管惡意代碼的形式是怎樣的，只要它對(duì)系統(tǒng)、內(nèi)存或網(wǎng)絡(luò)進(jìn)行有意破壞或執(zhí)行其他惡意行為，那么基于動(dòng)態(tài)行為分析的沙盒攔截分析系統(tǒng)就能對(duì)其進(jìn)行監(jiān)測(cè)和審計(jì)。

（2）惡意代碼檢測(cè)更精準(zhǔn)。在目前用于掃描郵件附件的病毒掃描技術(shù)來(lái)看，一般都是基于掃描代碼并匹配病毒特征庫(kù)的特征碼來(lái)判斷是否病毒。這種病毒掃描技術(shù)有局限性，一是惡意代碼特征庫(kù)需要人員及時(shí)更新，維護(hù)成本高；二是病毒特征庫(kù)容易被繞過(guò)，如惡意代碼通過(guò)加密、加殼或變種來(lái)繞過(guò)病毒特征庫(kù)。

正所謂“萬(wàn)變不離其宗”，不管惡意代碼怎么變，始終都是以破壞環(huán)境、竊取敏感數(shù)據(jù)、隱藏身份、錢(qián)財(cái)詐騙勒索等等為目的，而沙盒攔截系統(tǒng)關(guān)注的是惡意代碼的動(dòng)態(tài)破壞行為而非代碼特征本身，降低了由于惡意代碼的形態(tài)千變?nèi)f化而被繞過(guò)的安全風(fēng)險(xiǎn)。

（3）沙盒“試毒”不會(huì)對(duì)內(nèi)網(wǎng)環(huán)境造成破壞。沙盒本身就是隔離的虛擬環(huán)境，與物理環(huán)境分隔，惡意代碼對(duì)沙盒進(jìn)行的肆意破壞一般不會(huì)對(duì)其他內(nèi)存或主機(jī)造成任何影響。

（4）減少維護(hù)成本。病毒掃描所依賴(lài)的惡意代碼特征庫(kù)隨著新病毒、新變種的增加而需要不停地更新病毒特征庫(kù)，維護(hù)成本持續(xù)高昂。與病毒特征庫(kù)不同的是，惡意代碼的動(dòng)態(tài)行為指紋庫(kù)相對(duì)固定、穩(wěn)定，如圖4 所示，病毒的破壞行為主要集中在那幾種破壞行為。因?yàn)閻阂獯a的破壞路徑或其目的企圖是較固定的、并不會(huì)多樣化，所以對(duì)動(dòng)態(tài)行為指紋庫(kù)的維護(hù)成本比較病毒特征碼庫(kù)的維護(hù)成本明顯降低了。

（5）由沙盒代替人來(lái)識(shí)別網(wǎng)絡(luò)釣魚(yú)，可降低釣魚(yú)郵件給企業(yè)組織帶來(lái)的風(fēng)險(xiǎn)。機(jī)器無(wú)情，釣魚(yú)郵件所運(yùn)用的人性漏洞及社會(huì)工程學(xué)伎倆無(wú)法對(duì)機(jī)器施展。加之運(yùn)用沙盒監(jiān)測(cè)惡意代碼行為的方法，猶如上帝視角，黑暗一覽無(wú)遺。

5 結(jié)論

本文從社會(huì)工程學(xué)、沙盒技術(shù)的角度，分析了網(wǎng)絡(luò)釣魚(yú)的場(chǎng)景，剖析其所利用的技術(shù)、人性漏洞和社會(huì)工程學(xué)伎倆，針對(duì)網(wǎng)絡(luò)釣魚(yú)的具體場(chǎng)景提出具體的防御方法。

針對(duì)一般的郵件附件掃描技術(shù)存在的不足，提出利用沙盒的隔離特點(diǎn)，使用沙盒先于用戶(hù)運(yùn)行郵件附件“試毒”的理念，通過(guò)監(jiān)測(cè)代碼運(yùn)行后的動(dòng)態(tài)行為，由行為現(xiàn)象判斷附件是否惡意代碼，從而識(shí)別并攔截釣魚(yú)郵件。最后提出了結(jié)合沙盒技術(shù)識(shí)別攔截釣魚(yú)郵件的理念及思路、技術(shù)架構(gòu)及方案框架。