觀點

收件夾中的戰爭

2009 / 07 / 01
MIKE ROTHMAN 譯 ■ JENNY
收件夾中的戰爭
事實上垃圾郵件從未「被解決」過,狀況其實更糟,攻擊者們不斷的改良他們的手段而且還將目標訂在擁有高價值的對象身上。

  這場與垃圾郵件的戰爭並未被快速終結。即使比爾蓋茲曾在2004年宣告垃圾郵件將在2年內被解決,垃圾郵件的問題卻變得更嚴重,就好像是身處在看不到末端亮光的黑暗隧道中。

  毫無疑問的,了解垃圾郵件戰爭如何開始、為何開始、戰爭的爭鬥過程以及我們的期望是有幫助的。

  垃圾郵件最初是被用來進行市場行銷。透過傳送電子郵件給預先設定的名單是將資訊傳送出去最符合成本效益的方法;就算回應這些大量電子郵件的比例非常低,卻還是能夠帶來收益。

  就在不久前,垃圾郵件開始被用來挾帶惡意程式。一系列的惡意程式從Melissa、I Love You以及MyDoom一直到最近的Storm,而且電子郵件的攻擊目前也正停留在這種模式上。用垃圾郵件挾帶惡意程式的電子郵件攻擊,理由非常明顯:這樣的攻擊方式依然可以獲取利益。

  技術精良的垃圾郵件寄發者(spammer)開始將傳統向用戶直接郵寄廣告做促銷的行為放在檯面上交易,還追蹤垃圾郵件的回應並改良各類垃圾郵件程式,導致引發新的戰役。在2000年末發生PDF垃圾郵件數量上升就是最好的例子。PDF垃圾郵件,是被設計用來躲避電子郵件安全工具,不過這個方式快速的出現也快速的消失,因為它的回應率沒有其他技術高。

  所以我們發現壞蛋們又回到使用傳統的方法,像是純文字以及HTML格式的訊息,電子郵件安全服務提供者MessageLabs的技術長Mark Sunner說。他們還是持續在研究新的方法來讓PDF垃圾郵件更加有效,及修改寄件者與主旨來增加回應率。

  這已經是一場牽涉數百萬美元的商業模式而且還在快速成長,所以其中涉及組織型犯罪並不令人訝異,組織型犯罪投資大量金額在竊取網路的身分識別並利用這些身分來謀利。

攻與防

  第一代的垃圾郵件防禦是使用字串比對的方式,而我們也已經知道這個方法不好,這個方法就像是傳統的防毒軟體用特徵值來進行比對的偵測方式。

  這場戰役於是擴大,壞蛋開始修改訊息內容增加隨意的字串及文字來干擾特徵偵測。安全研究者們繼續發展出貝氏過濾法(Bayesian filter)以及其他的啟發式偵測技術來更有效捕捉應該變動的垃圾郵件。在2003年到2004年這1~2年之間有了快速的發展:所有的反垃圾郵件技術被組合成雞尾酒過濾法“cocktail”,而這個混合式的技術也帶來了最大的偵測效果。

  在2005年,誕生了以名譽為主(reputation-based)的偵測技術,反垃圾郵件廠商們了解到可以從寄件者的IP位址來推斷出寄件者可能的意圖。已知的垃圾郵件寄送者會立刻被阻擋,他們就難以將垃圾郵件傳送給用戶。

  現在,這些壞蛋增加使用殭屍電腦(bot)來遮掩他們真正的身分和意圖。由於殭屍電腦是不明的來源(anonymous),而且不會有「壞名譽」,所以在短時間內可以有很高的效率。

前線消息

  目前這一世代的攻擊是專注於讓受害者點下連到惡意網站的超連結,透過惡意的網站,攻擊者可以在受駭者的電腦上植入木馬程式、竊取個人資料以及將受駭者的電腦變成殭屍電腦。這個過程被稱為「多層次貨幣化」(請見「殭屍電腦生生不息」),一個攻擊者會和受駭者建立起長期的關係來將他的裝置變成可以產生收入的殭屍電腦。

  為何這樣的方式還是有效?基本上不管有多少的新聞以及警告,就是會有容易受騙的使用者。這也為什麼詐騙犯總是可以不斷重複使用相同的手法來騙人上當。他們可能會使用即時的新聞標題,如「來看小甜甜布蘭妮的裸體」或者「據報導賓拉登已經死亡」,以衝高點閱人次。或者發動「賀卡攻擊」,透過電子賀卡來引誘你。

  垃圾郵件寄發者們也持續不斷的創新;今日,他們利用Google來建立通往邪惡電子郵件地獄的道路。垃圾郵件寄發者們最新的方式是讓Google來索引他們的網站,然後傳送會找出他們網站的Google搜尋連結,不是傳送直接連到惡意網站的連結。這樣的方式甚至可以騙過已擁有良好資安意識的使用者。

  「雖然它是一個合法的www.google.com連結,可是點選該連結的結果卻是Google會直接把你轉向到垃圾郵件寄發者的網站,」MessageLabs的Sunner說。

這個方法非常有效,因為沒有任何網站過濾器會阻擋任何直接連線到Google的連結。更雪上加霜的是,這些壞蛋還可以從這樣的攻擊方式取得廣告收益。

與殭屍電腦纏鬥

  透過收集數十億筆電子郵件以及數千萬筆傳送者的資料,名譽伺服器(reputation service)已經可以猜測出傳送者的意圖。各家反垃圾郵件公司可以透過統計上的特徵來估算一個特定的IP位址是否是被用來傳送垃圾郵件或進行攻擊。此外,執法單位在過去3年也採取了比較激烈的手段來發掘、捕捉並告發有高度價值的垃圾郵件寄發者們。

  對壞蛋來說,更有效遮掩他們的意圖和將自己隱藏,變得更重要了。由於殭屍電腦可以很有效的隱藏身分和意圖,所以導致壞蛋對於殭屍電腦的興趣以及使用量大幅提高。殭屍電腦通訊網路的本質上就難以讓人去追蹤其背後控制者的身分。這些殭屍網路控制者們目前擁有數百萬台受駭的主機,可以用來傳送垃圾郵件或者發起阻斷服務攻擊。

  但是殭屍電腦在經過一段時間後會被偵測到並消滅,因此壞蛋們又開始嘗試不同的方法,直接攻擊合法的電子郵件伺服器。如果知名電子郵件伺服器的認證或密碼被竊取,或者透過暴力攻擊被得知,那麼垃圾郵件寄發者可以在這個伺服器被加到名譽伺服器的黑名單之前,自由的寄送大量電子郵件。

  垃圾郵件寄發者們正在擴大入侵各家公司的主機以及安裝有SMTP功能的伺服器來發送大量電子郵件,直到這些主機被加到壞名譽清單中。當然,這樣將會造成合法的傳送者會被加到阻擋的清單中。

潛伏中的刺客

  以上所有的技術都是被沒有名字、未被大眾熟知而進行的攻擊,目標是大量攻擊隨機的受害者。但是一些特殊的受害者們卻有著攻擊者所覬覦的更大目標。有越來越多的垃圾郵件寄發者對他們的受害者進行所謂一對一(one-to-one)的行銷策略,瞄準特定的個人使用者,他們會捕撈電子郵件訊息以及附件中高收益、高價值的特定個人資訊,此類高度客製化和個人化的攻擊被稱為「捕鯨(whaling)」,而且這些攻擊非常難被偵測出是垃圾郵件。

  Proofpoint的行銷與產品副總裁Sandra Vaughan經常看到這些攻擊,「舉例來說,我們的不動產管理客戶會收到一種『政府機構核可(government agency compliant)』類型的釣魚郵件,內容談及目標組織許多的詳細資料,其中還包含已經許久未曾管理資產的地址。」

  這種問題只會越來越嚴重,因為壞蛋已經建立起可以複製的商業流程來持續竊取資訊。
 
  「某些更資深的犯罪組織現在已經有資料能建立他們自己的選擇點(ChoicePoint),像是數百萬筆已取得社會安全碼、郵件、電子郵件位址、電話號碼以及其他個人資訊的受害者資料庫,」SecureComputing智慧分析主管Dmitri Alperovitch說。

新戰場

  我們將持續看到針對今日越來越多的資訊系統所發展出來的新攻擊,這些系統像是網路電話(Voice over IP)、行動裝置、部落格以及其他社群網路(social network)。以下是一些新興攻擊的概述:

SMSing

  在2007年中,一個針對全球SMS使用者進行的新攻擊被公佈。雖然使用者受SMS的影響有限,這個攻擊的傷害也很小,但是確定了這種攻擊的可能性。

Vishing

  Secure Computing偵測到對網路電話用戶的攻擊數量有增加的趨勢。攻擊者們會假冒撥號者的帳號(ID)資訊,導致非常難以追蹤原始的撥號者。

Facebook attacks

  我們也見到越來越多針對社群網路的攻擊,這些社群網路像是Facebook、MySpace以及各式各樣的部落格服務。我們也才剛開始在研究這些服務將會被壞蛋如何利用。

  這些攻擊目前只會讓你感覺被打擾,但是未來將會演變成確切的攻擊,而且這些新興攻擊的偵測與阻擋技術,事實上還落後了電子郵件5年之久。

對策

  當然,防禦方也不是傻傻的待著什麼都不做。當攻擊者們利用新的技術來攻擊新的對象,安全團隊也會快速的針對這些攻擊做出對策:

持續投資防禦研究

  頂尖的反垃圾郵件廠商投入了大量的研究資金來滲透垃圾郵件網路、發現殭屍電腦的操作者以及分析電子郵件訊息。因為壞蛋會持續不斷的創新,所以這些研究經費也是進行這項商業行為時的必要成本,沒有辦法持續發展對應方法的廠商就會看到自己的產品偵測率急速下降。

蒐集各方資訊

  廠商會利用特定區域客戶所收集的資料來增強名譽網路(reputation network),而且也會交叉參考使用者的回饋(如「報告垃圾郵件」按鈕)來持續的追蹤和標記會傳送垃圾郵件的伺服器。他們也會將電子郵件名譽資料和其他資料來源進行結合,像是由防火牆所捕捉到的掃描攻擊以及由網站過濾器所偵測到的網頁攻擊,來找出某個IP位置真實的意圖並提高準確率。

誰涉入其中?

  許多的研究者們認為,合法的傳送者針對電子郵件使用數位簽章並發布SPF記錄來保證他們的認證,有助於偵測垃圾郵件。實際上,壞蛋們也已經在整個垃圾郵件的系統中開始使用認證憑證。比對垃圾郵件的簽章就等於回到第一代的垃圾郵件防禦法,不過廠商也會使用這個技術來比對數以千計的特徵,進而增加垃圾郵件寄發者進行詐騙的難度。

組合式的武器

  專用的電子郵件解決方案已經越來越少見,終端使用者期望能夠組合多項安全方案構成安全閘道器來保護電子郵件、網頁以及其他通訊應用程式,如網路電話、即時通訊(IM)等。這些整合性閘道器不只因為結合了名譽資訊而有效用,也允許使用者建立常用的政策來管理資料內容,不再只是管理傳送資料的協定。

更好的訓練

  終端使用者們真的是最後的一道防線;投資一些時間來教育使用者,長程來說可以減少許多會造成全球性殭屍電腦感染的愚蠢行為。事實上,使用者教育可能是唯一抵抗以高階執行官為對象,進行個人化捕鯨攻擊的方法。

這是一場永遠的戰爭嗎?

  只要受害者還是會點選連結、購買線上詐騙產品以及對各式請求有所反應,那麼壞蛋就一定還是能夠持續擁有良好的投資報酬率,就會持續的傳送令人驚訝的大量垃圾郵件。

  「訊息的傳送格式和方式將會有所改變,」Symantec反濫用工程(anti-abuse engineering)的資深主管Doug Bowers說,「垃圾郵件不會有固定的方法,但是只要有足夠多的民眾依然會回應垃圾郵件讓寄發者有利益可賺,垃圾郵件就會一直存在。」

殭屍電腦生生不息

  垃圾郵件不只是一個打帶跑攻擊,個人電腦轉變成為殭屍電腦的過程,可被視為多層次貨幣化(multistage monetization)。u一開始當使用者點下網路釣魚郵件中的連結,回應郵件中的內容,例如來自銀行的訊息。v引導使用者到假冒的網站,並竊取個人資料。w該假網站下載木馬或鍵盤測錄程式到使用者端。x該台個人電腦回傳其他個人資料,且木馬程式隨時等候IRC傳來殭屍電腦幕後操控者所下達的其他指令。y像是使用這些電腦發送垃圾郵件或發起阻斷服務攻擊(DDoS)。

外送過濾

將閘道器上由內向外的資料封裝起來
  
  
垃圾郵件以及其他內送(inbound)的攻擊毫無疑問的可以獲取非常高的利益。只要將你的垃圾郵件過濾器關閉個1到2個小時你就會明白。但是各個組織可能會在對外的連線上損失更多有價值的資訊。不論內部人員是把企業機密傳送給競爭者或是自己外部網站的電子郵件帳號,或者是某個客服人員將私密的個人資料傳送給客戶,這對企業和遵循來說都是很嚴重的問題。

  有許多相同功能的偵測技術,包括內容分析、正規表示式、貝式過濾以及連結分析,都可以用來分析外送的電子郵件以找出有疑點的內容。目前新技術中其中一項最受喜愛的是電子郵件安全閘道器會「將由內向外的資料封裝起來(turn it inside out)」並過濾外送的郵件。

  許多大型企業都會投入大量的資源在進行資料威脅的預防,但是某些時候,將這些安全功能內建在現有的電子郵件安全閘道器上就能夠擁有良好的能力來阻擋很高比例的資訊侵害。

是否要委外?

  因為反垃圾郵件這個商業模式已經發展成熟,將這個功能委外給特定的電子郵件安全服務提供者,已經變成自己佈署並管理閘道器的另一項選擇。是否要委外已經大大的成為嚴肅問題,這些受管理的服務在過去這3年快速的成長已經能夠提供強健的偵測並處理大量的垃圾郵件。

  Google在去年收購了Postini並且開始調降這些管理服務的價格,預期要調降1/3。如同其他的技術市場,價格是不會上揚的,因此客戶們將可以在價格持續的下跌中享受更好的成本曲線。

  那些有需要專屬閘道器的客戶通常都是因為擁有高敏感性的電子郵件流量,或者需要進行非常細部和特殊內容過濾控制的關係,Proofpoint在它的Proofpoint O n D e m a n d s e r v i c e提供了一個「虛擬閘道器( v i r t u a l gateway)」選項。客戶們可以購買自己的虛擬閘道器執行在Proofpoint的環境中,讓客戶們可以自己管理服務並細部調整閘道器供應的功能。

  大部分主要的反垃圾郵件廠商們都會提供服務為主的選擇,所以假以時日我們可以預見除了較特殊的環境之外,大部分的公司都會選擇廠商所提供的服務來取代安全邊界上自行管理的閘道器。

奧運、喬治亞資訊戰爭
  
  8月份全球關注的焦點,莫過於4年一次,而且是第一次在中國舉辦的奧運會,在網路世界中當然也有許多搶搭熱潮順風車的惡意攻擊,以奧運相關的議題大量寄送惡意攻擊文件。MessageLabs在14日發現假冒國際奧林匹克委員會之名,向北京奧組委及各國奧運運動員發出藏有木馬後門的新聞郵件,使用中文的郵件內容加上PDF附件進行攻擊當然,運動員的電腦可能有一些訓練計畫、對手資訊等秘密,如果美國泳將費爾普斯(phelps)電腦被入侵成功,除了可以挖掘他如何獲得8面金牌的秘密之外,其電腦中的資訊想必也是非常值錢,而如果美國也有得獎的獎勵金,那他的網路銀行帳號密碼更是危險。一般人只要打開這個PDF檔案,裡面藏著惡意的木馬後門,「通常」不會特別去更新PDF閱讀工具,如Adobe的PDF Reader,這樣就難逃被入侵的可能。

  這也可能是有目的的情報蒐集。而在大家都關注奧運轉播品質好不好,廣告是否太長的時候,國際上發生了一場戰爭,俄羅斯與喬治亞共和國之間的戰役,是暨愛沙尼亞之後,又一場資訊戰在網路上開打,俄羅斯極有可能與地下駭客組織RBN合作,或者RBN自發性地以DDoS方式攻擊喬治亞的官方網路,在一篇網路Blog中寫道,RBN犯罪組織利用Botnet與SPAM機器大量地對喬治亞相關網段進行流量灌爆,接著才是實體世界的武力攻擊。這2起攻擊之間是否有關聯至今俄羅斯官方並未說明,但是因為時間點過於接近,且RBN組織在俄羅斯活躍許久也未見官方調查,令人懷疑RBN就是俄羅斯的網路大軍,所以對愛沙尼亞、喬治亞的網路資訊戰也可以被合理的解釋了!