Part1 前言
大家好,我是ABC_123。近几年无论是APT攻击还是日常各种攻防比赛,邮件钓鱼、鱼叉攻击一直都是常用的攻击手段,其中最出名且影响最大的实战案例莫过于“希拉里邮件门事件”,直接影响了美国总统大选结果,导致希拉里竞选总统失败。尽管这一事件几乎人人皆知,但其中涉及的鱼叉钓鱼攻击的技术细节却鲜有文章详细描述。经过翻阅大量资料,ABC_123今天为大家分析这个重要的鱼叉钓鱼邮件攻击案例,希望能够提升大家防范钓鱼邮件的意识。
注:文末提到的Xkeyscore关键得分系统请参考ABC_123的这篇原创文章《第100篇:美国NSA全球个人信息检索系统XKeyscore关键得分的介绍》,有详细介绍。
Part2 技术研究过程
-
希拉里邮件门事件介绍
“希拉里邮件门”事件最初指的是希拉里·克林顿在担任美国国务卿期间,使用私人电子邮件服务器处理与政府工作相关的邮件。随后在2016年10月7日,在希拉里竞选总统期间,希拉里总统竞选团队的负责人约翰·波德斯塔 (John Podesta) 的私人Gmail邮箱密码被某APT组织使用鱼叉攻击窃取,导致2万多封邮件被窃取,部分内容是绝密的。后续攻击者将数万封邮件内容公布在维基解密网站上,很多希拉里竞选团队的暗箱操作内幕被公开,最终导致希拉里竞选总统失败。尽管这两起事件看似无关,但APT组织使用鱼叉攻击手段致使其竞选团队的敏感邮件泄露,可以被视为这一事件的延续。
-
鱼叉攻击致希拉里竞选团队私密邮件泄密
在2016年3月,John Podesta的私人Gmail邮箱收到了一封精心制作的虚假钓鱼邮件,该邮件内容伪装成Google的重置密码提示,谎称“有人使用您的密码尝试登陆您的邮箱,您的密码可能被泄露,请立即修改密码”。
上述图片中的蓝色按钮“CHANGE PASSWORD”(更改密码)提示用户更改密码,实际上APT攻击者在此处嵌入了恶意的URL短链接:hxxps://xxxx.yyy/1PibSU0。当用户点击此按钮的时候,浏览器会跳转到一个精心制作的网络钓鱼页面。值得注意的是,该仿冒网站不仅高度模仿了真实页面,还能够显示受害者个人头像,使其看起来更逼真。每个用户点击后都会看到自己的个人头像,这种定向钓鱼策略大大增加了攻击的成功率。
John Podesta的助手对此URL短链接的跳转存在疑虑,于是将这封邮件内容转发给IT人员Charles Delavan以确认邮件的真伪。巧合的是Charles Delavan确认是钓鱼邮件之后,回复邮件时敲错了单词,原本想回复imlegitimate(不合法的),结果写成了legitimate(合法的)。于是John Podesta在Charles Delavan的建议下点击了2次URL链接跳转,根据仿冒页面的提示,输入了自己的原始的Gmail邮箱账号密码。最终APT攻击者在后台获取到用户名密码,登录受害者的Gmail邮箱,获取了数万封希拉里竞选团队的敏感邮件,并将其公布在维基解密网站上。
-
鱼叉钓鱼攻击的技术细节分析
URL短链接地址 hxxps://xxxx.yyy/1PibSU0对应的长链接地址是如下,其中红色部分是在仿冒Gmail的域名:
hxxp://myaccount.google.com-securitysettingpage.tk/security/signinoptions/password?e=am9obi5xxxxxxxxxxxxxxxLmNvbQ%3D%3D&fn=Sm9obiBQb2Rlc3Rh&n=Sm9obg%3D%3D&img=Ly9saDQuZ29vZ2xldXNlxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxQUFBSS9BQUFBQUFBQUFCTS9CQldVOVQ0bUZUWS9waG90by5qcGc%3D&id=1sutlodlwe
上述URL是APT攻击者精心制作的,URL中有很多的传参,APT攻击者会为每个受害者量身定制钓鱼静态页面。其中,e=am9obi5xxxxxxxxxxxxxxxLmNvbQ%3D%3D 传值就是John Podesta的邮箱地址的Base64编码:
URL地址的传参img=Ly9saDQuZ29vZ2xldXNlxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxQUFBSS9BQUFBQUFBQUFCTS9CQldVOVQ0bUZUWS9waG90by5qcGc%3D 解密后会得到一个头像图片的url地址:
//xxxxx.googleusercontent.com/-Qexxxxxxxxxxxxxx/xxxxxxxxxx/xxxxxxxxxxxxxx/BBWU9T4mFTY/photo.jpg
APT攻击者通过URL的传参将电子邮件地址和头像图片传递到伪造的页面中去,并加载显示出来。访问上述地址之后,如果有安全意识的话,会看到两个疑点:第1个是HTTPS证书的锁图标消失了,变成http开头的url;第2个是Google的修改密码的页面托管在.tk域名下。
-
希拉里邮件门与Xkeyscore公民信息检索系统
2015年3月3日,《纽约时报》率先披露,在2009年1月至2013年2月希拉里·克林顿在担任国务卿期间,从未使用政府state.gov官方邮箱,而是使用个人邮箱地址[email protected]并通过位于其纽约住所的私人服务器收发设计国家机密的公务邮件,其中有2000封包含机密信息,110封包含绝密信息。
这些敏感邮件通过希拉里的私人账户传递。事件曝光后,希拉里主动提交了30,490封与工作有关的邮件,共计约55000页,但同时删除了超过3万2千封自称为私人邮件的内容。
期间,希拉里团队删除了许多机密邮件。然而,美国官方仍然可以通过内部的XKeyscore(关键得分)个人信息检索系统,使用selector:[email protected] 从全网流量中检索这些被删除的邮件内容。”selector”是指用来过滤和检索特定信息的数据参数或查询条件。这些”selector”可以是电子邮件地址、电话号码、IP地址、关键词等,用于在海量数据中定位和提取相关信息。
Part3 总结
1. 在处理公务或敏感信息时,始终使用官方邮件账户。这些账户通常有更强的安全措施和监控,以确保信息的安全。
2. 邮件中的可疑的URL链接、非法链接需要谨慎点开,并仔细观察URL地址的变化。
公众号专注于网络安全技术,包括安全咨询、APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,99%原创,敬请关注。
Contact me: 0day123abc#gmail.com
(replace # with @)
原文始发于微信公众号(希潭实验室):第104篇:解密希拉里”邮件门”中鱼叉钓鱼攻击的技术细节
