基于沙盒技術及社會工程學角度分析和防范釣魚攻擊的研究

［謝其祥 李莎］

1 引言

習近平總書記在2018 年提出了“沒有網絡安全就是沒有國家安全”的核心理念，將網絡安全提升至國家戰(zhàn)略層面。在數(shù)字化技術滲透到我們生活的方方面面的今天，在網上購物、在線支付、即時聊天、傳送文件資料的時候，網絡安全便已時刻保護著我們的個人及財產安全。網絡安全已然成為我們工作、生活、學習離不開的話題。

“人”是網絡安全最大的威脅，“人”的脆弱性漏洞是破壞性及影響力最大的漏洞，因此，網絡釣魚這一針對“人”的攻擊至今仍愈演愈烈。但是在較多的網絡安全報告中并未發(fā)現(xiàn)關于“人”這一方面的威脅分析和研究的防御措施，認為“人”不用防或難以防范而不作為。

網絡釣魚攻擊是針對個人進行的利用人性弱點的入侵攻擊，然而“人”卻是網絡安全體系中最脆弱的一環(huán)，網絡安全建設應警惕“短板效應”，防范“黑天鵝”事件。

在零信任機制中，“一切輸入都是不可信任的，一切都須驗證”是零信任的核心。在“人”這方面的管控，也應參考零信任機制的理念，一切人員須納入網絡安全框架內進行驗證并審計，加以技術控制以降低風險。

郵件安全廠商Mimecast 發(fā)布的《The State of Email Security 2022》報告中指出，“2021 年數(shù)據泄露事件飆升，網絡釣魚是最大的罪魁禍首，36%的數(shù)據泄露，至少部分原因是因為通過網絡釣魚竊取了員工的憑證，其中96%是通過電子郵件發(fā)生的。”“96%的公司已經成為郵件釣魚攻擊的目標”，如圖1 所示，這說明了網絡釣魚攻擊已然成為了成本低但收益高、回報率高的攻擊手段，而且不易被追溯。網絡釣魚攻擊利用“廣撒網”的手段，屢屢得手，成為了目前急需防御的網絡攻擊之一。

圖1 網絡釣魚事件統(tǒng)計

釣魚攻擊是針對人性缺點進行滲透突破的，人在未受到專業(yè)培訓的情況下，容易受到自身的恐懼心理、服從心理、貪婪心理、好奇心理、同情心理等的驅使，點擊或下載攻擊者精心設計好的釣魚“鉤子”從而上當受騙，如釣魚網站對個人憑證的竊取、釣魚郵件的木馬附件、釣魚短信的木馬下載鏈接以及釣魚電話的人員操縱等。

在大多數(shù)的網絡威脅和網絡安全的解決方案中，都僅闡述了邏輯技術方面的研究，并未在如何預防內部人員被社會工程學攻擊的方面作詳細、長期且持久的研究和統(tǒng)計，在網絡安全建設中，應警惕“短板效應”的發(fā)生。人是網絡安全的建設者，也是摧毀網絡安全措施的破壞者。如果攻擊者利用釣魚攻擊，對內部人員進行社會工程學攻擊，從而輕而易舉地獲得密鑰、系統(tǒng)口令、內部敏感數(shù)據、商業(yè)機密等數(shù)據資產，那么攻擊者便不會花費大量時間、人力和資金去突破組織精心部署的各種防火墻、IDS、IPS、數(shù)據防泄露系統(tǒng)等的縱深防御措施。

2 釣魚攻擊的場景及防御

2.1 釣魚郵件

什么是釣魚郵件？釣魚郵件指精心設計的偽裝特定人員或特定平臺系統(tǒng)、攜帶病毒木馬等惡意代碼、發(fā)送給目標人員或人群的難以追溯的惡意郵件。

釣魚郵件一般有如下特點：

（1）有壓縮的附件。攻擊者喜歡使用將特洛伊木馬等惡意代碼壓縮成ZIP 格式，以躲避殺毒軟件等匹配惡意特征碼機制的查殺。而且附件解壓后的文件格式是.com、.exe、.bat 等可執(zhí)行文件格式。

（2）郵件內容所傳達事情是時間緊迫、緊急或投人所好的，釣魚郵件最經典的手段就是利用人的心理學特點。當一封郵件發(fā)送過來，寫著①“您的企業(yè)郵箱133*****888 賬號疑似被他人盜取，為了您的財產安全，請收到郵件5 分鐘內下載附件并按要求操作，否則逾期自負！”是利用人的恐懼心理以及損失厭惡心理，是一種魚叉式釣魚（Spear Phishing），如圖3 所示。②“根據《***通知》的規(guī)定，公司將對2021 年7 月前在職員工進行2021 年的績效補貼發(fā)放，收到郵件后，請及時填寫個人銀行卡賬號及手機號，并掃描二維碼按操作提示，逾期不再受理，請知悉！”是利用了人的貪婪和對權威信任的心理，如圖2 所示。

圖2 釣魚郵件的截圖

（3）郵件頭偽造利用，發(fā)件人偽裝成真實的郵件域名，或者僅有細微差別。如要偽裝@securecenter.cn，利用郵件頭偽造的方式可造出@secureeenter.cn、@sccurecenter.cn、@securecenter.com、@secure-center.cn 等極為相似的域名來欺騙收件人的雙眼。

怎么防御釣魚郵件？

（1）在郵件網關入口部署郵件防毒系統(tǒng)。在郵件網關部署防毒系統(tǒng)旨在結合安全廠商已有的殺毒程序對郵件病毒進行攔截，對郵件不良敏感內容進行過濾，設定攔截及放行規(guī)則，通過安全驗證后才轉發(fā)到郵件服務器，保證用戶的Email 安全。

（2）正確配置SMTP 郵件中繼的身份驗證機制。因為釣魚郵件發(fā)送者并不想暴露其來源信息以免被追溯，所以釣魚郵件發(fā)送者會尋找完全開放的郵件中繼并轉發(fā)釣魚郵件。對郵件中繼正確配置，在接收和轉發(fā)前需對發(fā)件人進行身份驗證。如果郵件中繼默認設置為“完全開放”，則郵件服務器會接收任何郵件并發(fā)送給任意指定的接收者。

（3）使用SPF（Sender Policy Framework）技術配置電子郵件系統(tǒng)。SPF 通過對每封進入服務器的電子郵件進行驗證，來防止釣魚郵件偽造郵件地址。

（4）沙盒機制。在郵件網關接入郵件沙盒，郵件網關檢測到有附件或鏈接時候，必須先將所有附件或鏈接剝離并發(fā)送到郵件沙盒，在沙盒的隔離環(huán)境下打開附件并運行或點擊鏈接訪問，對代碼行為進行動態(tài)分析，辨別出惡意附件及惡意鏈接，并將結果返回給郵件網關。郵件網關必須等待沙盒的辨別信息后，才能對該郵件執(zhí)行攔截或放行的操作。

（5）進行網絡釣魚攻擊的專題培訓和安全意識宣貫。對員工進行網絡釣魚的培訓和提升員工的安全意識并達到預期效果，對于網絡釣魚攻擊來說是致命的。因為網絡釣魚歸根結底就是利用人性漏洞和社會工程學伎倆，譬如恐懼心理、服從心理、損失厭惡心理、貪婪心理等。簡而言之，網絡釣魚就是利用人性漏洞驅使受害者按照攻擊者意圖進行一系列操作以達到攻擊者預期目標的手段。即使無任何防釣魚技術的防護，只要人不被釣魚所欺騙，網絡釣魚也不過是飯后余談而已。

2.2 釣魚網站

釣魚網站參照目標合法網站的外觀，偽造成與其非常相似的精心設計的網站，并通過社會工程學伎倆誘導受害者訪問該偽裝網站。受害者在以假亂真的界面輸入賬號密碼、銀行賬號等敏感信息后，個人財產安全甚至人身安全便已受到了威脅。釣魚網站一般跟金錢利益、身份信息盜用有關，所以各大銀行、銀聯(lián)、支付寶、微信、QQ、翼支付等的官網是釣魚網站的目標所在。

釣魚網站的攻擊成本低，所獲利潤高，導致了釣魚網站的投資回報率（Return On Investment，ROI）高。偽裝金融網站的投資回報率高是釣魚網站至今愈演愈烈的根本原因之一。

那么人們是怎么誤入釣魚網站的？主要有以下4 種方式：

（1）搜索引擎優(yōu)化（Search Engine Optimization，SEO）技術：利用搜索引擎的排名規(guī)則，提高網站在有關搜索引擎內的自然排名。黑客為了提升釣魚網站的點擊率，使用SEO 技術這把雙刃劍，將釣魚網站推向人們的視野，用于釣魚目的SEO 技術又稱為黑客SEO 技術。當在搜索引擎的搜索結果列表同一頁中同時出現(xiàn)了釣魚網站和官方網站的時候，人們點擊釣魚網站并受騙的事件也就成為了一定概率的事件。

（2）超鏈接欺騙?！把垡姴灰欢檎妗保烎~網站利用了超鏈接“表里不一”的特點。因為超鏈接的元素與鏈接是分開的，給元素賦予的鏈接卻可與元素無任何關聯(lián)。譬如一個超鏈接的元素看起來非常正式正規(guī)、甚至與官方網站URL 一模一樣，可是隱藏在元素底下的鏈接卻極有可能是釣魚網站或惡意網站的網址。釣魚郵件內容附加的超鏈接極有可能是利用超鏈接欺騙技術，讓受害者跳轉至釣魚網站。

（3）短網址隱藏?！安虏挛沂钦l”，黑客利用短網址平臺將釣魚網站地址轉換成平臺統(tǒng)一的、真假難分的短網址。當受害者收到指向釣魚網站的短網址，再輔以社會工程學攻擊，利用受害者的人性漏洞誘導其打開短鏈接。短網址是把雙刃劍，短網址本是用于營銷手段或用于規(guī)避博客、短信等平臺對于字數(shù)的限制，現(xiàn)在被用于釣魚詐騙攻擊的誘導手段，短網址也被用于其他攻擊的輔助手段，如跨站腳本XSS、跨站請求偽造CSRF 等網絡攻擊。

（4）DNS 欺騙。DNS 解析是將網站域名解析成IP地址的過程，DNS 欺騙是使用中間人（MitM）攻擊的概念和DNS 解析的流程來破壞整個正常的DNS 解析過程。用戶輸入域名，計算機首先訪問C:WindowsSystem32driversetc 目錄下的hosts 文件，如果有靜態(tài)映射解析，則不再向DNS 服務器發(fā)送域名解析請求。否則發(fā)送DNS 解析請求到DNS 服務器解析。因為DNS 服務器響應請求需要一定時間，這時候只要攻擊者在DNS 服務器響應之前將偽造的DNS 響應發(fā)送回主機就可達到DNS 欺騙效果。所以DNS 欺騙使用的方法有：①病毒非法篡改hosts 文件。② 進行DNS 響應的劫持。③DNS 緩存毒化。

防御釣魚網站方法如下：

（1）仔細核對網站域名，真實域名與釣魚域名極可能僅有一符號之差。

（2）對于郵件中的超鏈接，使用鼠標“懸停”方式或選中超鏈接并復制鏈接地址來識別鏈接的真實URL，如圖3 所示。

圖3 鼠標“懸停”識別

（3）對于短信中的短網址或安全性未知的二維碼，非必要不點擊或掃描。

（4）驗證網站是否有X.509 數(shù)字證書，如有則核實簽發(fā)的CA 是否可信、數(shù)字證書是否處于過期注銷狀態(tài)。對于持非可信CA 簽發(fā)的數(shù)字證書或無數(shù)字證書的網站，應進一步甄別其是否為釣魚網站。

3 應用沙盒技術識別釣魚郵件

3.1 沙盒技術實現(xiàn)釣魚郵件自動識別的原理及構想

釣魚郵件的危害在哪？是郵件的內容還是郵件的附件或鏈接？內容和附件都是攻擊者精心設計的陷阱，郵件內容本身并無害處，只是利用了社會工程學的人性漏洞，讓你堅信這是一封真實且緊迫緊急的郵件，從而下載附件并按指示運行附件或執(zhí)行其他操作。

什么是沙盒？沙盒是一個與物理環(huán)境隔離的虛擬環(huán)境，用于運行未經測試的或信任程度未知的代碼或鏈接，猶如虛擬機中運行病毒木馬并溯源一樣，在沙盒環(huán)境運行任何惡意代碼均在可控范圍內，不會污染其他內存或感染其他主機。

對比已有的網關防病毒系統(tǒng)，沙盒技術能分析惡意代碼的種類更多，并不僅僅限于已知的病毒種類，還能發(fā)現(xiàn)0day 病毒、木馬及其變種類型、邏輯炸彈等惡意代碼和自動識別郵件攜帶的惡意鏈接，通過模仿人的操作結合惡意軟件行為分析，發(fā)現(xiàn)惡意代碼從而攔截釣魚郵件。

對新出現(xiàn)的加密、加殼、變種病毒木馬，網關防病毒系統(tǒng)可能因為特征碼庫沒有及時更新導致無法通過特征指紋匹配識別0day 或1day 惡意代碼，而且防病毒系統(tǒng)的特征庫需要及時更新，否則形同虛設。沙盒技術站在更高的角度，在模擬人的操作層上打開并點擊、運行郵件附件或惡意鏈接，縱使其千變萬化，在沙盒運行的惡意代碼動態(tài)行為將會彰顯無遺，如圖4 所示，惡意代碼的破壞行為通常集中在這幾種行為內，所以通過惡意行為分析即可研判其是否釣魚郵件。

圖4 病毒的破壞行為統(tǒng)計

釣魚郵件的危害主要在于附件、鏈接背后隱藏的陰謀。只要在釣魚郵件到達郵件網關后、人們收到郵件之前，通過沙盒技術運行郵件的附件并對其的動態(tài)行為進行分析，沙盒識別攔截系統(tǒng)將分析結果返回給郵件網關，郵件網關根據沙盒返回的檢測分析結果對郵件放行或攔截丟棄。攔截疑似釣魚郵件后，發(fā)送郵件被攔截的通知給用戶，通過用戶的反饋信息促進沙盒攔截系統(tǒng)降低其對釣魚郵件的錯誤接受率FAR 及錯誤拒絕率FRR，如圖5 所示，迭代優(yōu)化。

圖5 FAR 與FRR 的關系

3.2 應用沙盒自動識別攔截釣魚郵件的方案

應用沙盒技術是為了彌補傳統(tǒng)的釣魚附件靜態(tài)掃描分析的缺陷，在惡意代碼的運行階段對其動態(tài)行為進行監(jiān)測和分析，能發(fā)現(xiàn)加密、加殼、變種的病毒木馬、蠕蟲、邏輯炸彈等惡意代碼，對釣魚郵件有效攔截。在沙盒中運行任意代碼并不會對物理主機造成任何威脅。

如圖6 和圖8 所示，安全性未知的郵件到達郵件網關，先剝離郵件附件或鏈接，并將其發(fā)送至沙盒識別攔截系統(tǒng)，通過沙盒攔截系統(tǒng)對代碼的行為監(jiān)測和分析，將動態(tài)行為的分析和判斷結果返回郵件網關，由其負責攔截或轉發(fā)郵件。

圖6 機制流程圖

圖7 功能架構圖

圖8 部署拓撲圖

攔截釣魚郵件后，應將攔截該郵件的通知告知收件人，由收件人將不正常的情況反饋給管理員，例如正常郵件被沙盒系統(tǒng)攔截或釣魚郵件繞過沙盒攔截系統(tǒng)的實際情況。這種“反饋-調整”機制將促使沙盒攔截系統(tǒng)特對具體情況調整策略，降低沙盒攔截系統(tǒng)對釣魚郵件的錯誤接受率FAR 和對正常郵件的錯誤拒絕率FRR。

如圖7 的功能架構圖所示，在惡意代碼運行后，會發(fā)生一系列操作行為，如文件的增、刪、改、替換，注冊表的添加、修改和刪除，還有更重要的是惡意代碼的網絡活動，木馬在運行后需要反向連接外部地址，會開啟動態(tài)端口與外部IP 建立連接等等。

這些惡意行為都可以使用各種類型的日志記錄，在日志采集之后將各類日志發(fā)送到日志分析模塊和惡意行為指紋庫模塊比對，結合動態(tài)行為分析模塊和攔截過濾規(guī)則，分析和判斷該郵件附件是否惡意代碼，從而得出郵件是否釣魚郵件的結論。

4 沙盒識別攔截釣魚郵件方案的優(yōu)勢分析

相對于現(xiàn)有的釣魚郵件病毒特征碼靜態(tài)掃描技術而言，基于沙盒技術識別并攔截釣魚郵件的方案具有如下顯著優(yōu)點：

（1）檢測范圍更廣。因為是基于代碼運行所產生的行為檢測的，不僅僅基于病毒，還可以檢測木馬、蠕蟲、邏輯炸彈、細菌、間諜軟件等等。因為沙盒識別攔截系統(tǒng)是通過采集惡意代碼的動態(tài)行為，經過日志分析、行為分析并與惡意行為指紋庫比對，這一系列的操作之后所下的結論結果來作為其是否釣魚郵件的依據。所以不管惡意代碼的形式是怎樣的，只要它對系統(tǒng)、內存或網絡進行有意破壞或執(zhí)行其他惡意行為，那么基于動態(tài)行為分析的沙盒攔截分析系統(tǒng)就能對其進行監(jiān)測和審計。

（2）惡意代碼檢測更精準。在目前用于掃描郵件附件的病毒掃描技術來看，一般都是基于掃描代碼并匹配病毒特征庫的特征碼來判斷是否病毒。這種病毒掃描技術有局限性，一是惡意代碼特征庫需要人員及時更新，維護成本高；二是病毒特征庫容易被繞過，如惡意代碼通過加密、加殼或變種來繞過病毒特征庫。

正所謂“萬變不離其宗”，不管惡意代碼怎么變，始終都是以破壞環(huán)境、竊取敏感數(shù)據、隱藏身份、錢財詐騙勒索等等為目的，而沙盒攔截系統(tǒng)關注的是惡意代碼的動態(tài)破壞行為而非代碼特征本身，降低了由于惡意代碼的形態(tài)千變萬化而被繞過的安全風險。

（3）沙盒“試毒”不會對內網環(huán)境造成破壞。沙盒本身就是隔離的虛擬環(huán)境，與物理環(huán)境分隔，惡意代碼對沙盒進行的肆意破壞一般不會對其他內存或主機造成任何影響。

（4）減少維護成本。病毒掃描所依賴的惡意代碼特征庫隨著新病毒、新變種的增加而需要不停地更新病毒特征庫，維護成本持續(xù)高昂。與病毒特征庫不同的是，惡意代碼的動態(tài)行為指紋庫相對固定、穩(wěn)定，如圖4 所示，病毒的破壞行為主要集中在那幾種破壞行為。因為惡意代碼的破壞路徑或其目的企圖是較固定的、并不會多樣化，所以對動態(tài)行為指紋庫的維護成本比較病毒特征碼庫的維護成本明顯降低了。

（5）由沙盒代替人來識別網絡釣魚，可降低釣魚郵件給企業(yè)組織帶來的風險。機器無情，釣魚郵件所運用的人性漏洞及社會工程學伎倆無法對機器施展。加之運用沙盒監(jiān)測惡意代碼行為的方法，猶如上帝視角，黑暗一覽無遺。

5 結論

本文從社會工程學、沙盒技術的角度，分析了網絡釣魚的場景，剖析其所利用的技術、人性漏洞和社會工程學伎倆，針對網絡釣魚的具體場景提出具體的防御方法。

針對一般的郵件附件掃描技術存在的不足，提出利用沙盒的隔離特點，使用沙盒先于用戶運行郵件附件“試毒”的理念，通過監(jiān)測代碼運行后的動態(tài)行為，由行為現(xiàn)象判斷附件是否惡意代碼，從而識別并攔截釣魚郵件。最后提出了結合沙盒技術識別攔截釣魚郵件的理念及思路、技術架構及方案框架。