PhishingAnalysisFundamentalsTHM
Introduction
垃圾邮件和网络钓鱼是常见的社会工程攻击。在社会工程中,网络钓鱼攻击媒介可以是电话、短信或电子邮件。正如您应该已经猜到的,我们的重点是将电子邮件作为攻击媒介。
我们都应该有点熟悉什么是垃圾邮件。无论如何,这些电子邮件都会以某种方式进入我们的收件箱。
第一封被归类为垃圾邮件的电子邮件可以追溯到 1978,并且至今仍然猖獗。
网络钓鱼是一种严重的攻击媒介,作为防御者,您必须防御它。
组织在构建分层防御策略时可以遵循所有建议的指南。尽管如此,您所需要的只是企业环境中缺乏经验且毫无戒心的用户单击链接或下载并运行恶意附件,这可能为攻击者提供进入网络的立足点。
许多产品有助于打击垃圾邮件和网络钓鱼,但实际上这些电子邮件仍然可以通过。当他们这样做时,作为安全分析师,您需要知道如何分析这些电子邮件以确定它们是恶意的还是良性的。
此外,您将需要收集有关电子邮件的信息来更新您的安全产品,以防止恶意电子邮件重新进入用户的收件箱。
在这个房间中,我们将了解与通过互联网发送电子邮件相关的所有组件以及如何分析电子邮件标头。
The Email Address
在这个房间开始时,首先要提一下发明了电子邮件概念并使 @ 符号闻名的人。对我们的沟通方式做出贡献的人是雷·汤姆林森。
电子邮件的发明可以追溯到 20 世纪 70 年代的 ARPANET。是的,可能在你出生之前。当然,在我出生之前。 :)
那么,电子邮件地址由什么组成?
- 用户邮箱(或用户名)
- @
- 域名
让我们看一下以下电子邮件地址:billy@johndoe.com。
- 用户邮箱是billy
- **@**(thanks Ray)
- 域名是johndoe.com
为了进一步简化这一点,请考虑一下您居住的街道。
- 您可以将您的街道视为域。
- 在此场景中,收件人的名字/姓氏以及门牌号代表用户邮箱。
有了这些信息,投递邮件的邮政工作人员就知道将信件放入哪个邮箱。
接下来,让我们看看用于从发件人向收件人发送电子邮件的网络协议。
Email Delivery
当您在电子邮件客户端中点击“发送”时,会发生一些“魔法”,其中涉及到一些协议。
到目前为止,您应该已经知道某些协议是为了处理特定的网络相关任务(例如电子邮件)而创建的。
涉及 3 个特定协议来促进传出和传入电子邮件消息的传输,下面简要列出了它们。
SMTP(简单邮件传输协议) - 它用于处理电子邮件的发送。
POP3(邮局协议) - 负责在客户端和邮件服务器之间传输电子邮件。
IMAP(互联网消息访问协议) - 负责在客户端和邮件服务器之间传输电子邮件。
您应该已经注意到 POP3 和 IMAP 具有相同的定义。但两者之间也存在差异。
两者之间的区别如下:(credit AOL – You got mail!)
POP3
- 电子邮件被下载并存储在单个设备上。
- 发送的消息存储在发送电子邮件的单个设备上。
- 电子邮件只能从电子邮件下载到的单个设备访问。
- 如果您想将邮件保留在服务器上,请确保启用“将电子邮件保留在服务器上”设置,否则一旦下载到单个设备的应用程序或软件,所有邮件都会从服务器中删除。
IMAP
- 电子邮件存储在服务器上,可以下载到多个设备。
- 发送的消息存储在服务器上。
- 消息可以在多个设备上同步和访问。
现在我们来谈谈电子邮件如何从发件人传输到收件人。
为了最好地说明这一点,请参见下面过于简化的图像:
下面是对上图中每个编号点的解释:
- Alexa 在她最喜欢的电子邮件客户端中给 Billy (
billy@johndoe.com
) 写了一封电子邮件。完成后,她按下了发送按钮。 - SMTP 服务器需要确定将 Alexa 的电子邮件发送到何处。它查询DNS以获取与“johndoe.com”相关的信息。
- DNS 服务器获取信息
johndoe.com
并将该信息发送到 SMTP 服务器。 - SMTP 服务器通过 Internet 将 Alexa 的电子邮件发送到 Billy 的邮箱“johndoe.com”。
- 在此阶段,Alexa 的电子邮件经过各个 SMTP 服务器,最终中继到目标 SMTP 服务器。
- Alexa 的电子邮件终于到达目的地 SMTP 服务器。
- Alexa 的电子邮件已转发,现在位于本地 POP3/IMAP 服务器中等待 Billy。
- Billy 登录他的电子邮件客户端,该客户端会在本地 POP3/IMAP 服务器上查询他邮箱中的新电子邮件。
- Alexa 的电子邮件被复制 (IMAP) 或下载 (POP3) 到 Billy 的电子邮件客户端。
最后,每个协议都有其关联的默认端口和推荐端口。例如,SMTP 是端口 25。
请阅读以下文章以了解此处之间的区别。
Email Headers
伟大的!我们知道电子邮件如何从 A 点传输到 B 点以及该过程中涉及的所有协议。
此任务是了解电子邮件到达收件箱时的组成部分。
如果您希望手动分析潜在的恶意电子邮件,这种理解是必要的。
在开始之前,我们需要了解电子邮件有两个部分:
- 电子邮件标头(有关电子邮件的信息,例如中继电子邮件的电子邮件服务器)
- 电子邮件正文(文本和/或 HTML 格式的文本)
电子邮件消息的语法称为 Internet 消息格式 (IMF)。
我们首先看一下电子邮件标题。
在分析潜在恶意电子邮件时您会寻找什么?
让我们从以下电子邮件标头字段开始:
- 发件人 - 发件人的电子邮件地址
- 主题 - 电子邮件的主题行
- 日期 - 发送电子邮件的日期
- 收件人 - 收件人的电子邮件地址
这通常在任何电子邮件客户端中都清晰可见。让我们看一下下图中这些字段的示例。
警告:这是来自实际电子邮件的片段。下图中的电子邮件来自蜜罐雅虎电子邮件地址。请勿与此房间中透露的电子邮件地址或 IP 地址进行接触/互动。
注意:上图中的数字对应于上面的电子邮件标题字段项目符号列表。
获取相同电子邮件标头信息等的另一种方法是查看“原始”电子邮件详细信息。
详细查看电子邮件标头时,一开始可能会令人生畏,但如果您知道要寻找什么,那就还不错。
注意:根据您的电子邮件客户端(无论是 Web 客户端还是桌面应用程序),查看这些电子邮件标头字段的步骤会有所不同,但概念是相同的。
查看 Media Temple 中有关在各种电子邮件客户端中查看原始/完整电子邮件标头的知识库 (KB) 文章 [此处](https://mediatemple.net/community/products/grid/204644060/how-do-i-view -消息的电子邮件标题)。
在下图中,您可以看到如何在雅虎内查看此信息。
以下是电子邮件示例的原始消息的片段。
注意:上图显示了电子邮件标题中的部分(而非全部)信息。
您可以在附加虚拟机桌面上的“电子邮件示例”目录中查看此电子邮件。该电子邮件的标题为“email1.eml”。
从上图中,还有其他令人感兴趣的电子邮件标头字段。
- X-Originating-IP - 电子邮件的 IP 地址发送自(这称为 [X-header](https://help.returnpath.com/hc/en-us /articles/220567127-什么是 X-headers-))
- Smtp.mailfrom/header.from - 发送电子邮件的域(这些标头位于 Authentication-Results 中)
- Reply-To - 这是回复电子邮件将发送到的电子邮件地址,而不是From电子邮件地址
澄清一下,在上面示例的电子邮件中,Sender是 newsletters@ant.anki-tech.com,但如果收件人回复该电子邮件,则回复将发送至reply@ant.anki-tech。 com,这是Reply-To,不是 newsletters@ant.anki-tech.com。
以下是 Media Temple 提供的有关如何分析电子邮件标头的附加资源:
注意:以下问题基于 Media Temple 知识库文章。
Email Body
电子邮件正文是电子邮件的一部分,其中包含发件人希望您查看的文本(纯文本或 HTML 格式)。
以下是纯文本电子邮件的示例。
以下是 HTML 格式电子邮件的示例。
上面的电子邮件包含一个图像(被电子邮件客户端阻止)和嵌入的超链接。
HTML 使得将这些元素添加到电子邮件中成为可能。
查看电子邮件的 HTML 代码的方法与下面所示的方法相同,但可能会因网络邮件客户端的不同而有所不同。
在下面的示例中,屏幕截图来自Protonmail。
HTML 代码片段如下所示。
在这个特定的电子邮件 Web 客户端 Protonmail 中,切换回 HTML 的选项称为“查看呈现的 HTML”。
同样,对于其他网络邮件客户端来说,情况会有所不同。
最后,电子邮件可能包含附件。同样的前提也适用;您可以通过电子邮件的 HTML 格式或查看源代码来查看电子邮件的附件。
让我们看下面的几个例子。
以下示例是来自“Netflix”的带有附件的 HTML 格式的电子邮件。网络客户端是 Yahoo!
- 邮件正文有图片。
- 邮件附件为PDF文档。
现在让我们在源代码中查看此附件。
从上面的示例中,我们可以看到与此附件关联的标头:
- Content-Type是application/pdf。
- Content-Disposition 指定它是一个 attachment。
- Content-Transfer-Encoding 告诉我们它是 base64 编码的。
使用 Base64 编码的数据,您可以对其进行解码并将其保存到您的机器上。
警告:与附件交互时,请小心行事,并确保您不会意外双击电子邮件的附件。
注意:特定于“内容”的标头可以在电子邮件源代码中的各个位置找到,并且它们不仅与附件相关联。例如,Content-Type可以是text/html,并且Content-Transfer-Encoding可以具有其他值,例如8bit。
Types of Phishing
现在我们已经介绍了有关电子邮件的一般概念以及电子邮件如何从发件人传输到收件人,现在我们可以讨论这种通信方法如何用于邪恶目的。
不同类型的恶意电子邮件可分为以下类型之一:
- 垃圾邮件 - 未经请求的垃圾电子邮件批量发送给大量收件人。垃圾邮件的恶意变体称为 MalSpam。
- 网络钓鱼 - 发送到目标的电子邮件声称来自受信任的实体,以诱骗个人提供敏感信息。
- 鱼叉式网络钓鱼 - 通过针对寻求敏感信息的特定个人或组织,网络钓鱼更进一步。
- Whaling - 与鱼叉式网络钓鱼类似,但它专门针对 C 级高职位个人(CEO、 CFO等),目标是一样的。
- Smishing - 通过使用特制短信针对移动用户,对移动设备进行网络钓鱼。
- Vishing - 与短信诈骗类似,但攻击不是使用短信进行社会工程攻击,而是基于语音电话。
网络钓鱼的作案手法通常是相同的,具体取决于电子邮件的目的。
例如,目标可能是获取凭据,另一个目标是获得对计算机的访问权限。
以下是网络钓鱼电子邮件的典型共同特征:
- 发件人电子邮件名称/地址将伪装成受信任的实体(**电子邮件欺骗**)
- 电子邮件主题行和/或正文(文本)带有紧迫感或使用某些关键字,例如发票、暂停等。
- 电子邮件正文 (HTML) 旨在匹配信任实体(例如亚马逊)
- 电子邮件正文 (HTML) 格式或书写不当(与上一点相反)
- 电子邮件正文使用通用内容,例如亲爱的先生/女士。
- 超链接(通常使用 URL 缩短服务来隐藏其真实来源)
- 冒充合法文档的恶意附件
我们将在网络钓鱼模块的下一个房间中更详细地了解这些技术(特征)。
提醒:在处理超链接和附件时,您需要小心,不要意外点击超链接或附件。
超链接和 IP 地址应“defanged”。 Defanging 是一种使 URL/域或电子邮件地址不可点击的方法,以避免意外点击,这可能会导致严重的安全漏洞。它替换特殊字符,例如电子邮件中的“@”或“.”在 URL 中,使用不同的字符。例如,高度可疑的域名 http://www.suspiciousdomain.com 将更改为 hxxp[://]www[.]suspiciousdomain[.]com,然后转发给 SOC 团队进行检测。
Conclusion
在结束这个房间之前,您应该知道**BEC**(商业电子邮件泄露)是什么意思。
BEC 是指攻击者控制了内部员工的帐户,然后使用受感染的电子邮件帐户说服其他内部员工执行未经授权或欺诈的操作。
提示:您应该熟悉这个术语。我以前在工作面试中听到过这个问题。
在这个房间里,我们讨论了以下内容:
- 电子邮件地址由什么组成?
- 电子邮件如何从发件人传输到收件人。
- 如何查看电子邮件标头的源代码。
- 如何查看电子邮件正文的源代码。
- 了解我们应该从我们正在分析的电子邮件中获取的相关信息。
- 攻击者在垃圾邮件和网络钓鱼电子邮件活动中使用的一些常见技术。
在即将推出的网络钓鱼分析系列中,我们将了解网络钓鱼电子邮件活动中使用的各种常见技术的示例,以及帮助我们分析电子邮件标头和电子邮件正文的工具。