公司的钓鱼邮件攻击原理
在这全年 company internal 的情况下发生了一件真实案例,在经过无效报警后,随后本人去年投入大量时间进行深入研究,并对本次涉及的钓鱼邮件案例进行了详细分析,随后在 internal 举办多场专题分享会,现将该案例发布出来供相关同事参考,欢迎有相关需求的同事一同探讨
钓鱼邮件原理解析
2022.4
- 事件概述
自2022年3月以来,某分子公司被调查发现其运用公司邮箱系统。不法分子制作并伪造虚假邮件后缀标识符模仿公司邮箱发送给客户及供应商以非法手段获取敏感信息。其中涉及的冒充邮箱标识符包括h0lite**.net、holite**.ml以及hoilte**.net等三个变体。
股份公司正式使用的域名为holite**.net,其采用的邮箱系统为mail.holite**.net。例如一名员工ggiggs的邮件地址即为ggiggs@holite**.net。
钓鱼邮件的几种“饵线”:
1. A公司向其官网邮箱及以下邮箱地址发送邮件:smthk.com、sulu-m.com、vn.ey.com、otdtt.co.kr及pricer.com等客户或供应商邮箱地址,在此 basis上与相关方建立联系并采用常规邮件通讯方式获取关键信息;
2. A公司试图通过电子邮件直接与B公司及其官网邮箱进行沟通以便获取关键信息;
3. C公司向其官网邮箱及pricer.com等客户或供应商邮箱发送邮件后与C公司建立联系;
4. C公司试图直接向D公司及其官网邮箱发送电邮以便取得相关信息;
5. 来自SecureMeters.com公司的电邮账号同时向D公司及D公司的电邮账号发出电邮请求D公司在收到此类电邮后及时回复相关信息
本篇文章通过实例剖析其过程及其相关原理,并向大家介绍基础概念。在结尾部分演示了一次攻击过程,留下了深刻的印象。旨在提高个人防护意识。
- 术语定义
官方电子信箱:即以holite**.net为后缀的电子信箱账户。
也可称为合法电子信箱账户。
在官方邮箱设置中配置的电子信箱属于官方电子信箱。
钓鱼邮件:指h0lite**.net、holite**.ml和hoilte**.net后缀的邮箱地址邮件。
外部邮件:非holite**.net结尾的合法电子通信工具;这种形式主要用于开展与公司内外部事务相关的业务交流活动。
邮件网关:采用合力泰邮箱系统与U-mail邮件网关集成的方式,在邮件接收环节为外部邮件提供进入官方邮箱的边界服务。该系统主要充当信息过滤和病毒防护装置,在日常运作中能够自动完成收集相关信息、识别并阻止病毒文件的传输等功能工作。
- 钓鱼邮件收发分析
- 钓鱼邮件的邮箱系统
针对holite**.ml这一案例, 通过whois查询工具分析, 经查询发现其为顶级马里地区的免费域名, 并标注在图1-1中; 在此过程中, 我们还未能在国内进行备案注册. 进一步解析A记录(图1-2)和MX记录(图1-3), 最终确定该钓鱼邮件的邮箱系统源自漂亮国某地区的服务器(如图所示标记在图1-4中).
图1-1
图1-2
图1-3
图1-4
b. 关于h0lite**.net, 首先通过whois查询工具进行信息检索, 查出该域名确实在漂亮国由NameSilo, LLC进行注册使用(如图2-1所示), 然后对A记录以及MX记录进行详细分析后发现, 此钓鱼邮件系统的邮箱服务器同样位于漂亮国某一地区的一台服务器上(如图1-4所示).
图2-1
图2-2
图2-3
关于hoilte.net,在漂亮国由注册商DYNADOT, LLC进行了注册(图3-1)。随后对MX域进行了解析,并成功对应于三条MX记录:mx\mx2\mx3(图3-2)。进一步分析发现,在各自的情况下分别解出了两个IP地址:136.143.191.44和204.141.191.44(图3-3至图3-7)。通过Shodan调查发现这两台IP地址分别服务于位于漂亮国的两台主机(图3-6至图3-7)。
图3-1
图3-2
图3-3
图3-4
图3-5
图3-6
图3-7
- 官方邮箱系统的部署原理
合法邮箱U-mail部署配置:通过防火墙从互联网连接至邮箱主机(VIP地址分别为vip: 以及backup为 ,arive为 ),系统名称设定为mail.holite** . 对应的公网IP地址是 /29,并开放了443、SSL/TLS侧的端口,并允许访问这些端口。采用U-mail邮件网关服务以拦截垃圾邮件。
发邮件方式
若目标邮箱属于内部邮件,则可以直接发送。若目标邮箱属于外部邮件系统,则可通过该系统的公网IP地址发送。若此发送尝试失败,则可转由中继节点重新发送至smtp.mailrelay.cn (115.231.236.174)进行补发。
- 收邮件途径
当接收目的邮箱为内部邮件时,则无需中间环节直接从公司邮箱系统接收;而对于外部目的邮箱,则首先由U-mail的邮件网关进行初步过滤。其中该 email 网关的具体地址包括 mx .spamgateway.cn (182.2.191.36) 和 mx1 .spamgateway.cn (115.231.236.169),经过该 email 网关过滤后将被发送至 mail.holite***.net 的收件人邮箱。
- 钓鱼邮件的收发
钓鱼邮件h0lite**.net及holite**.ml均由66.15-8.9.9.3主机发起发送电子邮报相关内容。这些电邮经过互联网传输至合力泰邮箱网关后,并经该网关接收进入对应的目标邮箱系统运行(如图-4-------- \(图4-- 图 ))。
图4-1
图4-2
钓鱼邮件hoilte**.net经由MX2/MX3(MX\MX3).zoho.com发件人服务器执行轮询或自由选择路由策略发送电子邮件至合力泰邮箱网关接收端口,在完成经由互联网传输至目标合法邮箱系统后完成收件操作
图5-1
图5-2
- 模拟钓鱼邮件
1、模拟思路
借助上述学习资源以及搜索引擎的帮助,在线构建钓鱼邮件系统也并非不可能。具体来说,在线构建钓鱼邮件系统也并非不可能的同时,请您前往域名注册商处申请一个易于被误认为是 holite**.net的真实域名。最后一步是通过搜索引擎获取有关 holite**.net 的官方可靠信息(例如HR部门联系人邮箱地址或其他内部人员的邮箱地址)。
2、搭建过程
为了实现网络接入,在zoho.com上需在外网上提交企业版邮件服务的申请。
b. 通过某域名注册商注册hotlit.net域名。
设置Zoho Mail的域验证时可使用TXT、CNAME或HTML等多种方式完成对hotlit.net的域名验证
为hotlit.net域名进行解析设置,在其MX地址中依次配置zoho.com对应的SPF、DKIM以及TXT记录以确保验证顺利通过
图6-1
3、钓鱼发起
向福州信息化部同事发送了一封主题为《厂商权限开放信息收集》的邮件,并负责收集各厂商申请的相关权限信息及附带所需的一份Excel表格文件。其中图6-2展示了发件人的来源;图6-3列出了outlook客户端接收邮件的效果;图6-4则列出了win11自带邮件界面的不同展示方式。
图6-2
图6-3
图6-4
4、钓鱼邮件收到回信
如图6-5所示,在这种情况下收到了一封邮件。此外还有另外两名同事也受到了同样的影响。他们主动向目标发送Excel文件以进行攻击操作。尽管进行了多方面的尝试但这种钓鱼邮件虽经多方面尝试仍未能成功被发现。
如图6-5所示,在这种情况下收到了一封邮件。此外还有另外两名同事也受到了同样的影响。他们主动向目标发送Excel文件以进行攻击操作。尽管进行了多方面的尝试但这种钓鱼邮件虽经多方面尝试仍未能成功被发现。
图6-5
- 基本结论
对于以上初步分析可知, 伪冒者主要通过以下两个方面实施钓鱼邮件攻击: 一是依赖于部分企业存在的漏洞技术认证机制, 结合其 email 系统/网关过滤设置不细致的特点, 进入共同空间领域; 第二是采用社会工程学手法, 通过获取内部及外部相关信息, 渗透到共同空间领域展开相关话题。对此如何有效防范此类钓鱼邮件攻击呢?
1. 提高自我保护意识简单来说,通过主动意识对待这类事件,则可以通过学习计算机基础知识来提升鉴别能力;另一方面,则可以通过遵循既定的制度规范来培养对内部规则的遵守意识.
1. 使用科学先进的信息技术手段辅助遵循相关国际/国家/行业标准搭建完善的企业邮箱系统架构,在此基础上完善域名与IP系统的双向认证与加密机制保障。从多个方面对邮件客户端、服务器端及通信网络等各主体进行安全认证管理,并且包括但不限于终端设备的端到端加密保护、传输网络的访问控制授权以及人员账号与通信资源的一一对应绑定管理。信息安全领域的各项核心技术确实较为复杂,在本文中不做深入探讨。