电子邮件是一种重要的通信工具,但也是网络犯罪中最常被利用的攻击媒介之一。恶意行为者经常使用电子邮件传播恶意软件、执行网络钓鱼攻击和策划复杂的社交工程活动。对于网络安全研究人员来说,了解如何分析这些电子邮件对于检测和预防基于电子邮件的威胁至关重要。
本文中,我们将从研究人员的角度探讨恶意电子邮件分析,深入探讨网络钓鱼攻击的细微差别,并剖析如何应对基于电子邮件的威胁。我们将介绍工具、技术、最佳实践,以及研究人员如何发现攻击者用来欺骗目标的隐藏细节。
恶意电子邮件的剖析
恶意电子邮件有多种形式,包括网络钓鱼电子邮件、带有恶意附件或链接的电子邮件以及商业电子邮件入侵 (BEC)。它们的区别在于,它们意图通过未经授权访问敏感数据或部署恶意软件来欺骗或伤害收件人。
发件人: [email protected]
收件人: [email protected]
抄送: [email protected]
密送: [email protected]主题 :
需要紧急采取行动:需要 验证帐户邮件 正文:尊敬的客户,我们检测到您的帐户存在异常活动,需要立即验证您的详细信息以防止他人未经授权访问您的帐户。请点击以下链接验证您的帐户信息: [验证帐户] (http://fakebank.com/verification)如果我们在24小时内未收到回复,您的帐户将被暂时停用。谢谢您的合作,客户支持团队银行安全部附件:verify-details.pdf (潜在恶意软件)签名:此致,欺诈支持团队[email protected]页脚:退订:<https://fakebank.com/unsubscribe>
了解恶意电子邮件的结构对于研究人员来说至关重要:
-
发件人信息(发件人/回复人字段):恶意电子邮件通常来自与合法地址或域名相似的伪造地址或域名。攻击者可能会使用电子邮件欺骗技术来欺骗收件人,使其认为邮件来自可信来源。
-
主题行:恶意电子邮件的主题通常旨在营造一种紧迫感或好奇心,促使收件人无需进一步审查就立即采取行动。
-
邮件正文:网络钓鱼电子邮件通常会模仿合法的商业通信,但细微的迹象(例如糟糕的语法、奇怪的格式或不寻常的请求)都可能暴露信息。
-
附件和链接:电子邮件可能包含恶意附件(例如 PDF、DOCX、ZIP 文件)或指向恶意网站的钓鱼链接。研究人员重点分析这些元素,以识别它们所携带的威胁。
-
标头和元数据:每封电子邮件背后都有元数据,揭示了电子邮件从发件人到收件人的路径的重要细节。这些数据可以帮助研究人员识别异常情况,例如电子邮件的真实来源或是否有人试图混淆其旅程。
网络钓鱼电子邮件的类型
-
鱼叉式网络钓鱼:针对特定个人或组织的定向网络钓鱼,通常使用个性化内容以增加成功的可能性。
-
捕鲸:一种鱼叉式网络钓鱼,专门针对首席执行官或其他高管等知名人士。
-
克隆网络钓鱼:攻击者复制合法电子邮件并用恶意版本替换链接或附件,使其难以被发现。
-
商业电子邮件泄露 (BEC):攻击者冒充高管或商业伙伴,诱骗员工汇款或提供敏感信息。
网络钓鱼电子邮件分析:关键指标
在分析网络钓鱼电子邮件时,研究人员会寻找一组常见指标。这些指标有助于确定电子邮件是否是恶意的,如果是,则确定其制作方式。以下是一些需要检查的最重要的元素:
发件人域欺骗:
-
攻击者可能会使用域名欺骗技术来创建看似合法的电子邮件地址。例如,攻击者可能会注册“g00gle.com”这样的域名(使用零代替零)来欺骗收件人。研究人员可以通过将发件人的电子邮件地址与合法域名进行比较来识别这种情况。
可疑 URL:
-
网络钓鱼电子邮件通常包含将用户重定向到旨在获取凭据的虚假登录页面的 URL。研究人员可以通过以下方式检查这些链接:
悬停在链接上:只需将鼠标悬停在链接上而不单击它即可显示真正的目的地。
URL 分析工具: VirusTotal、PhishTank 或 URLscan 等工具可以帮助分析可疑 URL 中是否存在恶意活动或检测已知的网络钓鱼网站。
附件检查:
-
钓鱼电子邮件中的恶意附件可能包含恶意软件或打开时执行的脚本等有效负载。分析附件的关键技术包括:
沙盒:在沙盒环境中运行附件以观察其行为,而不会冒系统感染的风险。
静态分析:在不执行文件的情况下检查文件的元数据和结构。这可能会发现嵌入的宏、编码脚本或其他恶意组件。
动态分析:在受控环境中模拟附件的执行以观察任何恶意活动。
语言和语调:
-
许多钓鱼邮件的语法很差,语言不自然,语气也过于急促。这些危险信号通常表明该邮件来自非母语人士或匆忙准备的网络钓鱼企图。然而,更复杂的攻击可能会使用完美的语言,这就需要研究人员依赖更多的技术指标。
异常请求:
-
钓鱼邮件通常会要求提供敏感信息,例如登录凭据、财务详细信息或个人数据。要求采取紧急行动的邮件(尤其是绕过正常业务协议的邮件)应引起怀疑。
恶意电子邮件分析工具
研究人员依靠一系列工具来分析和剖析恶意电子邮件。这些工具有助于发现所使用的攻击方法并协助识别恶意负载。以下是一些基本工具:
电子邮件标头分析工具:
-
MxToolbox 和Email Header Analyzer允许研究人员检查电子邮件标题中是否存在不一致之处,例如“发件人”和“回复至”字段不匹配或可疑的发送服务器。
病毒总数:
-
此工具允许研究人员通过与已知恶意软件数据库进行对比来分析电子邮件附件和 URL。VirusTotal 汇总了来自多个防病毒引擎的结果,帮助识别可疑文件或域。
网络钓鱼坦克:
-
已知钓鱼网站的数据库,可帮助识别某个 URL 是否已被举报或列入黑名单。研究人员可以使用 PhishTank 来验证电子邮件中嵌入的可疑链接。
沙盒解决方案:
-
Any.Run和Cuckoo Sandbox允许研究人员在虚拟环境中执行可疑附件或链接,以观察其行为,而不会危及系统完整性。
SPF、DKIM 和 DMARC 验证:
-
这些协议有助于验证电子邮件发件人的真实性。研究人员可以检查电子邮件是否通过了 SPF、DKIM 和 DMARC 验证,以确定它是否从授权服务器发送,或者电子邮件是否可能是伪造的。
YARA 规则:
-
YARA 是一种工具,可帮助研究人员通过识别模式或特征来创建检测恶意软件的规则。YARA 可用于扫描电子邮件附件并检测已知的恶意负载或恶意软件系列。
高级网络钓鱼策略:攻击者采用的技术
复杂的网络钓鱼活动通常使用先进的技术来逃避检测并增加成功的可能性。研究人员必须意识到这些策略:
同形异义词攻击:
-
攻击者会使用相似的字符注册与合法域名相似的域名。例如,用西里尔字母“о”代替拉丁字母“o”可以欺骗收件人。
电子邮件线程劫持:
-
攻击者可能会渗透合法的电子邮件线程(例如,通过被盗用的帐户)并注入恶意内容。这种策略特别有效,因为收件人不太可能仔细查看正在进行的对话中的消息。
多次重定向:
-
钓鱼邮件中的恶意 URL 可能包含多个重定向,这些重定向会经过合法网站,然后到达最终的恶意页面。研究人员需要追踪整个路径才能发现真正的目的地。
凭证收集工具包:
-
攻击者使用预先构建的网络钓鱼工具包来复制合法的登录页面。这些工具包通常托管在被入侵的网站或模仿合法品牌的域名上。
地理围栏技术:
-
一些网络钓鱼网站采用地理围栏,恶意网站仅向特定地区的用户提供有效载荷,这使得不同地区的研究人员更难检测到威胁。
电子邮件标题
对于研究人员来说,电子邮件标头提供了重要信息,可以帮助追踪网络钓鱼电子邮件的来源。通过检查标头,研究人员可以提取关键细节,例如:
-
Return-Path:如果邮件未能送达,则接收退回电子邮件的电子邮件地址。
-
接收链:显示处理电子邮件的服务器,从发送服务器到收件人的邮件服务器。研究人员可以识别任何异常或确定电子邮件的来源。
-
X-Mailer:表示用于发送电子邮件的软件,有时可以提供有关攻击者的线索。
-
身份验证结果:显示电子邮件是否通过了 SPF、DKIM 和 DMARC 检查,这对于检测欺骗电子邮件至关重要。
处理恶意电子邮件的最佳实践
请勿打开或点击任何东西:
-
研究人员应避免在自己的环境中打开电子邮件附件或直接点击链接。所有可疑文件和链接都应在沙盒或虚拟环境中进行检查。
保留原始电子邮件:
-
保留电子邮件的原始格式,包括标题和元数据。这对于维护证据的完整性至关重要,尤其是在法律诉讼中需要证据时。
记录一切:
-
从最初的电子邮件收据到最终的分析,保存所采取的行动和发现的全面日志。记录对于透明度和创建与利益相关者共享的报告至关重要。
教育最终用户:
-
研究人员应与安全团队合作,教育最终用户如何识别网络钓鱼电子邮件并报告可疑消息。定期的安全意识培训可以大大降低网络钓鱼攻击成功的风险。
结论
网络钓鱼和恶意电子邮件分析需要敏锐的眼光和系统的方法。研究人员必须将技术专长与正确的工具相结合,以识别、剖析和缓解这些威胁。通过了解网络钓鱼电子邮件的结构、采用先进的分析技术并利用专门的工具,网络安全研究人员可以领先攻击者一步,并帮助保护组织免受基于电子邮件的威胁。
随着网络钓鱼攻击不断发展,我们识别和打击这些攻击的策略也必须不断改进。无论是分析电子邮件标题、调查附件和链接,还是了解同形异义词攻击和线程劫持等高级网络钓鱼策略,全面主动的电子邮件分析方法都至关重要。研究人员在这场战斗中发挥着关键作用,他们不仅要剖析这些攻击,还要分享他们的知识,帮助加强整体防御态势。
在瞬息万变的数字环境中,保持信息灵通和适应能力是有效电子邮件安全的关键。下一次网络钓鱼尝试可能比上一次更加复杂,但通过适当的分析,研究人员可以揭露即使是伪装得最巧妙的威胁。
原文始发于微信公众号(KK安全说):恶意电子邮件深入分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论