新型郵件欺騙攻擊預警

通過郵件來傳播惡意軟體或進行釣魚攻擊依然是目前最為主流的攻擊方法。近日安全研究員發現一種新的郵件攻擊方法，可以用於郵件欺騙攻擊，並且可以輕易繞過郵件網關等安全設備，當郵件到達用戶郵箱之後，攻擊者再遠程修改CSS（層疊樣式表）以顯示真正的攻擊內容。[ 本文系HanSight瀚思原創稿件，如需轉載請註明出處！]

通過郵件來傳播惡意軟體或進行釣魚攻擊依然是目前最為主流的攻擊方法。近日安全研究員發現一種新的郵件攻擊方法，可以用於郵件欺騙攻擊，並且可以輕易繞過郵件網關等安全設備，當郵件到達用戶郵箱之後，攻擊者再遠程修改CSS（層疊樣式表）以顯示真正的攻擊內容。

攻擊PoC演示

圖1

圖2

如圖1和圖2所顯示的那樣。同一封郵件（注意時間是一樣的），當郵件到達郵件網關等安全設備時，顯示效果如圖1，看上去是一封比較正常的郵件。郵件網關會放過此郵件，然後送達用戶的郵箱。然後，攻擊者可以修改遠程CSS，將顯示內容切換一下。當用戶從郵箱打開此郵件時，看到的內容如圖2所示，郵件文字和URL都改變了。

攻擊原理

目前多數郵箱都支持以HTML格式接收、發送郵件，並且都支持CSS，但是只有少數郵件客戶端支持遠程CSS（如：），支持遠程CSS的客戶端主要有MicrosoftOutlook、Mozilla Thunderbird等。

攻擊者就可以利用這個特性，來攻擊使用這些郵件客戶端的企業和用戶。

攻擊者會構造類似下圖的HTML郵件：

圖3

圖中，HTML包含一個遠程CSS鏈接，以表示這個HTML會用遠程CSS來渲染。然後，以

來切分文字，並且可以把正常的文字和誘騙性的文字「混淆在一起」，唯一標識這兩類文字的是每個div的id。攻擊者可以調整CSS來控制顯示哪段文字，鏈接也是同理。

遠程CSS內容如下：

圖4

在發送郵件時，evil相關欄位不顯示（none），當郵件繞過郵件網關等安全設備後，攻擊者再修改遠程CSS，讓evil相關欄位顯示（改成inline）並隱藏正常的文字（把good改成none）。通過這種方法，用戶打開郵件後，就會看到欺騙性的內容。

當然，比如Outlook，在顯示這類郵件時（含有遠程下載內容），會提示用戶要不要顯示遠程信息，但是，這樣的提示信息對用戶來說並沒有太大幫助，很多人會忽略提示直接點顯示。

圖5

受影響客戶端：

1. Microsoft Outlook

2. Mozilla Thunderbird

3. Apple Mail

「截止到目前，微軟並沒有打算修復這個問題」。

防護策略建議

1.不要輕易點擊郵件中未知的URL。

2.使用其他不受影響的郵件客戶端。

參考資料

https://www.mimecast.com/globalassets/documents/whitepapers/wp_the_ropemaker_email_exploit.pdf

關於瀚思：瀚思科技是中國第一家大數據安全企業，也是全球網路安全500強。我們專註於大數據安全分析，利用自主知識產權的智能分析與機器學習技術，幫助企業實時、自動偵測已經發生或即將發生的內部與外部安全威脅，最大限度的保護企業信息資產與業務安全。瀚思科技主創團隊來自趨勢科技（全球三大安全公司之一）、微軟、甲骨文，擁有18項全球安全專利。我們的產品已經廣泛被銀行、保險、能源、醫藥、政府、軍工等行業客戶部署，另外也與公安部、華為、百度、亞信、漢柏科技、清華大學、美國Hortonworks等知名企業和機構建立了戰略合作夥伴關係。

官網地址：www.HanSight.com

數據驅動安全?Data Driven Security

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！