|
注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 356|回复: 0

[网络安全] 黑客电子邮件攻击

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
46715
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   638 小时
   最后登录
   2020-9-25
发表于 2020-9-14 07:38:43 来自手机 | 显示全部楼层 |阅读模式
    电子邮件攻击是一种专门针对电子邮件系统的DoS攻击方式。由于电子邮件在互联网中的应用非常普遍,同时与电子邮件相关的SNMP、POP3和IMAP等协议在设计上都存在一定的安全漏洞,为攻击的实施提供了可被利用的资源。
1. 电子邮件攻击的概念
电子邮件攻击是利用电子邮件系统协议和工作系统机制存在的安全漏洞,通过利用或编写特殊的电子邮件软件,在短时间内向指定的电子邮件(被攻击对象)连续发送大容量的邮件,使电子邮件系统因带宽、CPU、存储空间等资源被耗尽而无法提供正常服务。为实现攻击而编写的特殊程序称为邮件炸弹(E-mail bomber),电子邮件攻击也称为电子邮件炸弹。
电子邮件攻击存在多种形式,主要有:通过监听网络中传输的电子邮件数据包或截获正在传输的电子邮件,窃取和篡改邮件数据;通过伪造的发送人电子邮件地址对指定的目标邮箱进行欺骗性攻击;通过发送大量的垃圾邮件产生拒绝服务攻击。
目前,电子邮件已经成为互联网上信息交换的主要方式,邮件收发过程的安全性和可靠性直接影响着邮件使用者之间的信息交流,尤其是Internet上的一些商务邮件更是如此。正是因为邮件的重要性,攻击者会收集一些重要的邮箱地址,出于种种目的向指定的邮箱发起攻击,轻则扰乱邮件的正常收发,重则导致邮件系统瘫痪。以攻击者频繁向指定的邮箱发送大容量邮件(一般为携带大附件的邮件)为例,因为每一个邮箱都有容量限制,如果短期内接收到的邮件大小超过了该邮箱的最大容量,该邮箱就会因没有存储空间而拒收正常的邮件。另外,即使是在邮箱的功能中设置了“当容量超过某一预设值时系统将自动删除前面的邮件”,但持续攻击行为在邮件服务器上产生的日志文件可能会迅速耗尽硬盘分配的存储空间,如果对日志文件的管理不当,则可能导致邮件服务器的崩溃。
2. 目录收割攻击
   目录收割黑客攻击(Directory Harvvest Attack,DHA)是指攻击者通过编写脚本程序,对特定域名下所有可能存在的电子邮箱地址进行猜测,以获得该域名下所有邮箱地址的攻击方式。根据SMTP的工作原理,当邮件服务器接收到一个无效的邮件地址时,该邮件服务器会向邮件发送者(发送者的邮箱地址)返回一个标准的错误信息;否则,邮件服务器会返回一个表示邮件已成功接收的应答。基于这一工作原理,攻击者就能够根据回复的内容判断某一邮件地址是否有效,从而收割有效邮箱地址,加入到垃圾邮件制造者数据库或提供给地下黑色产业链进行牟利。DHA猜测特定域名下邮箱地址的方式主要有两种:一种直接通过暴力方式穷尽所有的字母和数字组合;另一种是采用字典攻击,攻击者在根据人们的习惯构造了邮箱地址字典库后进行字典攻击。
在互联网快速发展的今天,用户的电子邮箱地址属于个人隐私,一般仅会在固定范围内使用,避免接收垃圾邮件或遭受攻击。为此,保护用户电子邮箱地址是互联网环境中保护个人隐私的一个方面。
需要说明的是,电子邮件攻击与垃圾邮件(spam)之间是有区别的,其中垃圾邮件被定义为不请自来的“大量”邮件,其特征是发送者在同一时间内将同一份电子邮件发给大量不同的用户,主要是一些公司用于对其产品的宣传或发送一些虚假广告信息,一般不会对收件人造成伤害;而电子邮件攻击是一种利用邮件协议漏洞的网络攻击行为。
1.4.7 高级持续威胁
    近年来,黑客网络攻击手段在实践中不断翻新,为安全防御提出了更高要求和新的挑战。原来单一的网络攻击方式已经无法适应当前复杂环境下的要求,所以综合技术和非技术因素的复合型攻击方式出现了。
1. 高级持续威胁(APT)的概念
高级持续威胁(Advanced Persistent Threat,APT)也称为针对特定目标的攻击,最初指某些组织和团体以挖掘安全数据为目的,长时间内访问某一网络的网络间谍活动,现在被定义为为了获取某个组织甚至是国家的重要信息,有针对性地进行的复杂且多方位的攻击方法。APT并非一种新的网络攻击方法和单一类型的网络威胁,而是一种持续、复杂的网络攻击活动。目前,APT不仅仅是国家和组织对抗过程中经常使用的攻击手段,民间专业黑客组织也会利用APT攻击手段发起危害较大的攻击,经常成为经济犯罪团伙(尤其是地下黑色产业链)使用的犯罪手段。
    在信息安全领域中,APT曾一度以国家重要信息基础设施(如政府、金融、电信、电力、能源、军事等网络)和信息系统为目标,在全球大数据背景下,旨在破坏工业基础设施、窃取关于国家安全和国计民生的重要情报。例如,2011年曝光的美国信息安全厂商RSA令牌种子破解事件,众多用户个人信息被窃取;2013年曝光的国际黑客针对美国几大银行发起的APT攻击,篡改用户信用卡数据库的取款上限,在全球利用复制的卡同步信用卡取款套现,短期内就窃取了4500万美金;2013年3月美国曾利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备,造成伊朗核电站推迟发电。除此之外,2013年曝光的美国棱镜事件、2015年曝光的乌克兰多家电厂遭攻击停电事件等,充分说明了APT对全球信息安全领域产生威胁的严重性。目前,随着移动互联网、物联网等技术的快速应用,APT已经成为黑客攻击的重要手段。
2. APT的特点
     APT是一种复杂的网络攻击活动,它在受害者完全不知情或即使知道攻击已经发生,但不清楚原因而无法采取行动的状态下进行。传统安全检测技术采用的是基于已知知识的签名检测技术,假设前提是威胁已知并分析出特征(签名),针对已知的威胁进行检测。然而APT攻击大量使用多种高技术手段组合各类未知威胁来发起攻击,攻击者先收集攻击目标的环境和防御手段的信息,了解信息后再有针对性地发起攻击(如利用0day漏洞),可以绕过传统入侵检测系统(IDS)的检测,利用木马或已知木马的变形,可以绕过传统杀毒软件的检测,利用加密可以绕过审计检测,利用搜索引擎反射可以绕过可信链路检测,等等。隐蔽性和持续性是APT的两大特点。
(1)隐蔽性。隐蔽性也称为潜伏性,是指APT威胁可能在用户环境中存在较长的时间,而很难被传统的安全防御攻击检测到。在潜伏期间,攻击者通常利用目标主机上已有的工具或安装安全系统无法检测到的工具,通过常用网络端口和系统漏洞,不断收集各种信息,直到收集到重要情报。发动APT攻击的黑客,其目的往往不是为了在短时间内获利,而是将“被控主机”当成跳板,持续搜索,直到能彻底掌握所针对的目标人、事、物。这种攻击方式通常是隐蔽的,攻击者通常会通过各种措施来掩盖攻击行为,避免在日志中留下入侵证据。
(2)持续性。持续性体现在APT不是为了在短期内获利,攻击者经常会有针对性地进行为期数月甚至是数年的精心准备。从熟悉用户网络环境开始,先收集大量关于用户业务流程和目标系统使用情况的精确信息,搜集应用程序与业务流程中的安全隐患,定位关键信息的存储位置与通信方式。如果一个攻击手段无法达到目的,攻击者会不断尝试其他的攻击手段,以及渗透到网络内部后长期潜伏,不断收集各类信息,通过精心构造的命令,控制网络定期回送目标文件进行分析,直到收集到重要情报。
3. APT主要环节
    APT攻击是一个复杂的活动,主要包括侦察、准备、锁定、进一步渗透、数据收集、维持等多个过程。APT攻击主要包括攻击准备、入侵实施和后续攻击3个环节,如图1-10所示。在具体的APT攻击过程中,这3个环节相互交织、相互影响,并没有严格的界线。为了从技术环节做更好的分析,下面分别具体介绍。
(1)攻击准备。在攻击准备环节,攻击者主要为实施入侵做前期的准备工作,主要包括以下几个方面。
①信息收集。通过收集被攻击目标的网络环境、安全保护体系、人际关系及可能的重要资产等信息,为制订入侵方案做前期的准备(如开发特定的攻击工具)。信息收集是贯穿全攻击生命过程的,攻击者在攻击计划中每获得一个新的控制点,就能掌握更多的信息,指导后续的攻击。
②技术准备。技术准备环节是指根据获取的信息,攻击者做出相应的技术性规划,常用的技术手段包括设计入侵路径并选定初始目标、发现可利用的漏洞并编写利用代码、木马准备、控制服务器和跳板等。
③周边渗透。攻击者会入侵一些外围目标,这些受害者本身不是攻击者攻击的目标,但因为可以被攻击者用来做跳板、DDoS服务器、获取相关信息等而被入侵。
(2)入侵实施。在入侵实施环节,攻击者针对实际的攻击目标逐步展开攻击,主要包括以下几个方面。
①常规手段。常规手段是指攻击者利用常规的网络攻击手段,将恶意代码植入到系统中。常见的方法有通过病毒传播感染目标、通过薄弱安全意识和薄弱的安全管理控制目标、通过社会工程学进行诱导、通过供应链植入等。
②缺陷和漏洞利用。缺陷是指信息系统中广泛存在且事实上已知的欠缺或不够完善的地方。系统中的缺陷主要包括默认密码、弱密码、默认配置和错误配置、计算机和网络的脆弱性等。这些缺陷在成本、时间和可替代等方面有时是无法按需修复的,在未修复之前就可能会被利用。利用漏洞入侵是专业黑客入侵重点目标常用的方式。当重点目标的安全防范意识和管理制度都比较健全时,单靠缺陷利用是不容易实现入侵的,这时攻击者会利用系统中存在的安全漏洞,特别是攻击者自己通过研究发现而其他人尚未知道的安全漏洞(0day漏洞)发起攻击。这类攻击从表面上看是对系统的合法操作,所以受害者很难会发现。主要的漏洞包括桌面文件处理类漏洞、浏览器类漏洞、桌面网络应用漏洞、网络服务类漏洞、系统逻辑类漏洞、对抗类漏洞、本地提权漏洞等。
③木马植入。在被攻击主机上植入事先准备的木马是ATP攻击过程中最为重要的一个环节。木马植入方式主要包括远程下载植入、绑定文档植入、绑定程序植入等。木马植入后,攻击者根据需要将会对木马进行激活和控制。
④渗透提取。当攻击者获得了对内网中一台主机的控制权后,为了实现对攻击目标的进一步控制,还需要在内网中进行渗透和提取,主要包括确定立足点、渗透和特权获取3项。其中,攻击者在获得了内网中某一台主机的控制权后,相当于获得了一个内网的立足点,而内网一旦进入则突破了网络已有的安全边界。之后,针对内网的安全防御就失去了作用,攻击者可以组合如社会工程学、文件共享服务器篡改程序、本地嗅探、漏洞等手段,通过借助立足点,对内网中的其他主机进行渗透,以获得更多主机的控制权。攻击者通过对更多主机的控制,逐步渗透到目标主机上并获得对该主机的特权。至此,攻击者成功完成了入侵。
(3)后续攻击。在后续攻击环节,攻击者将窃取所需要的信息或进行破坏,同时还会在内部进行深度渗透,以保证攻击行为被发现后还能够继续潜伏下来,不会前功尽弃。本环节主要包括以下几个方面。
①重要信息收集。攻击者利用获取到的权限和资源,分析和收集对攻击者有价值的信息。
②传送与控制。对于获取到的信息,攻击者需要将其传回到由自己控制的外部服务器上。为了逃避检测和审计,在信息传回时一般会模拟网络上一些常见的公开协议,并将数据进行加密。一些木马还会继续保存下来并被长期控制,实现与外部服务器之间的通信。另外,针对一些物理隔离的网络,攻击者一般使用移动介质摆渡的方式进行数据的传送。不过,一些破坏性木马不需要传送和控制就可以进行长期潜伏和等待,并按照事先确定的逻辑条件,触发破坏流程。例如,2013年美国针对伊朗核电站的“震网”蠕虫病毒,它在检测到所处的网络环境可能是伊朗核电站时,就修改离心机转速进行破坏。
③深度渗透。为了实现对已攻击目标的长期控制,确保在被受害者发现后还能复活,攻击者会渗透周边的一些机器,然后植入木马。但该木马可能处于非激活状态,检测和判断网络上是否有存活的木马,如果有则继续潜伏以避免被检测到,如果没有了,则启动工作。
④痕迹清除。为了避免攻击行为被发现,攻击者还需要做一些痕迹清除工作,主要清除一些日志信息,以躲避一些常规的检测手段。

发表回复

您需要登录后才可以回帖 登录 | 注册会员 |

本版积分规则

快速回复 返回顶部 返回列表