关键词：OSINT、邮件攻击、协同效应、威胁分析、开源软件

目录：
摘要
1. 背景介绍
2. 利用OSINT进行的目标邮件攻击
2.1 OSINT推动社会工程学发展
2.2 OSINT工具
3. OSINT与有针对性的电子邮件攻击的协同效应
3.1 通过状态转移模型进行威胁分析
3.2 攻击者持有的信息转移
3.3 转移状态模型的制定
3.4 可以被攻击者利用的状态（state）
4. 探讨
4.1 每种状态下的目标邮件类型
4.2 模型及其应用
5. 相关工作
6. 总结

摘要 

近年来，黑客很容易利用开源网络情报（OSINT）获得大量公司和个人的信息，也因此增加了对他人的威胁。针对这种情况，建立OSINT与目标攻击的协同效应模型将是对抗这些攻击的有效措施。

本文建立了一个状态转换模型，该模型定义了黑客使用OSINT工具收集目标信息的过程，然后对黑客在每个状态下生成的目标电子邮件进行分类。分析的结果可以被用来评估受害者由于邮箱被攻击导致的损失程度，从而采取合适的措施。

1. 背景介绍

近年来，有针对性的电子邮件攻击造成的损失迅速增加，这是社会工程学的一个典型例子，通过欺骗目标，给目标造成损害（例如，利用信息和金钱，或非法操纵私人电脑）。要完成目标电子邮件攻击，必须使目标相信目标电子邮件是常规电子邮件，因此攻击者会试图收集有关目标人员的信息。

关于信息收集，以前的攻击者必须通过自己的努力收集目标的信息。典型的数据收集方法包括人类智能（human intelligent）和信号智能（sigint），前者假扮为管理员或负责人接近目标，直接从目标那里听到信息或从周围的人那里收集信息，后者则通过窃听目标人的通信获得相关信息。

然而，近年来，公司通过自有媒体和社交媒体等途径向互联网发送有关自身信息已成为一种普遍做法。据报道，网络和社交媒体充斥着与公司和个人有关的信息，个人可识别信息和隐私信息可以通过合并公共个人信息获得，这种信息收集的方法即称为开源网络情报技术（OSINT）。

目前有许多工具都能作为开源网络情报的支撑。通过使用OSINT工具，攻击者可以创建更可信的目标电子邮件（目标更容易接收），因此，攻击的威胁比以前大得多。从防御者的角度来看，事先考虑使用OSINT技术的目标电子邮件攻击很重要。

针对这种情况，本研究试图模拟OSINT和目标电子邮件攻击的协同效应。具体来说，假设目标电子邮件攻击使用OSINT工具，我们制定了一个“状态转换模型”，定义了攻击者使用OSINT工具收集目标人信息的过程。

2. 利用OSINT进行的目标邮件攻击

2.1 OSINT推动社会工程学发展

OSINT是开源情报的缩写，是指从已发布的信息中收集必要的信息。所发布的信息（以下称为“OSINT数据”）包括各种信息，例如报纸报道以及从政府官员写到电话簿的信息。

近年来，许多个人和公司已经在社交媒体和互联网上传输了与自己有关的信息，并且现在很容易获得与个人和公司有关的大量的开源网络数据。OSINT数据可以应用于诸如经济预测和流行病分析等之类的应用场景。

但是，对于利用社会工程学的攻击者而言，OSINT数据在有针对性的电子邮件攻击中也很有用。攻击者现在可以使用OSINT数据收集有关目标人员的信息，而无需执行“麻烦的情报活动”，例如HUMINT和SIGINT。通过使用这些信息，攻击者可以创建具有高可信度的目标电子邮件（目标很容易被欺骗）。下面，我们以具体示例说明这些威胁。带下划线的部分对应于OSINT数据。

例子：

假定攻击者向日本大学教授A先生发送了针对性的电子邮件。

1.攻击者使用A先生的名字在互联网上搜索电子邮件地址，并获取域为“*.ac.jp”的电子邮件地址。

2.攻击者使用名称和电子邮件地址搜索相关的网页，并从其网站检查其研究和成就。

3.攻击者继续调查相关网页并获得A先生先前在X公司演讲的信息。

4.攻击者在互联网上搜索有关X公司的网页以检查相关网页，并获得诸如e的信息员工使用或他们当前关注的业务的电子邮件命名约定。

5.攻击者通过电子邮件欺骗假装是X公司的雇员。电子邮件正文包括以下内容；“您的演讲很棒，”“我们目前专注于的项目与A先生的研究有关，”“我们希望您再次与我们公司谈谈，”“我们希望您在附件中看到详细信息。”然后，攻击者附加一个包含漏洞利用代码的PDF文件，并将电子邮件发送给A先生。

在这个例子中，攻击者最初仅了解A先生的姓名和职业，但最后攻击者从互联网上收集了大量的开源数据，因而创建了更高可信度的目标电子邮件。

2.2 OSINT工具

OSINT工具是指有效从互联网上获取大量关于调查目标的开源数据软件。许多OSINT工具（例如Maltego和Creepy）已经发布。

下面，我们将使用Maltego和Tinfoleak（这是OSINT工具的代表性示例）来解释OSINT工具的详细操作。Maltego是Paterva开发的数据收集和可视化工具。输入名称，域，URL或这些元素的组合时，它将自动从互联网收集与之相关的所有信息。

例如，如果您为Maltego输入名称“MasakatsuNishigaki”，您将收到如图1所示格式的电话号码，电子邮件地址和相关网站的列表。在这种情况下，尽管社交媒体找不到帐户，如果Twitter或Facebook上有匹配的帐户名，则也可以获取相应帐户的信息。

另外，通过进一步输入在此获得的信息，可以连锁反应地收集信息。例如，如果输入通过在Maltego中输入名称而获得的域名“minamigaki.cs.inf.shizuoka.ac.jp”（图1），则可以获得PDF文件，相关网站，相关域，互联网服务器软件信息，电子邮件地址，IP地址以及从IP地址获得的位置信息（图2）。

Tinfoleak软件可以通过输入TwitterID获得以下信息。当Maltego在整个互联网上搜索时，Tinfoleak会收集仅限于特定服务（Twitter）的信息。

•用户基本信息（名称，图像，位置，关注者等）
•设备和操作系统
•使用的应用程序以及链接的社交媒体
•提供给推文的位置信息（坐标）
•用户提交的照片
•用户和用户使用的哈希标签使用的时间
•识别与该用户密切相关的其他用户
•用户感兴趣的主题（例如兴趣爱好）

通过全面检查和分析目标用户的资料和推文以及与其他用户的交互内容，并使用位置信息手动搜索推文，可以获得很多信息。这些OSINT工具对于授权用户检查其自身的个人信息在多大程度上扩散在互联网上，并诊断所使用服务器的漏洞（检查守护程序和应用程序版本）非常有用。

但是，在某些情况下，它具有其他方面的应用，例如其被攻击者用作支持目标电子邮件攻击的工具（更确切地说，是针对社会工程）。

3. OSINT与有针对性的电子邮件攻击的协同效应

3.1 通过状态转移模型进行威胁分析

考虑到使用OSINT工具进行的定向电子邮件攻击，本文尝试对“OSINT工具与定向电子邮件攻击的协同效应”进行建模。

首先，我们制定了由攻击者使用OSINT工具作为状态转换模型来收集攻击目标信息的过程。然后，在每种状态下，我们对攻击者可以生成的目标电子邮件进行分类。在本文中，这是本研究的第一步，我们重点研究目标电子邮件攻击的攻击目标是“特定个体”的情况，并据此进行建模。

我们认为，也可以通过针对“特定部门的任何成员”来针对性地针对电子邮件攻击进行建模，从现在开始，我们将其作为我们分析的主题。

3.2 攻击者持有的信息转移

在使用OSINT工具进行的有针对性的电子邮件攻击过程中，攻击者的手段通常如下：

1.最初，攻击者将有关其拥有的目标的信息输入OSINT工具中，然后获得新信息。

2.攻击者将在步骤1中获得的信息输入OSINT工具，以连锁反应收集信息。

考虑到攻击的过程，我们制定了攻击者使用OSINT工具作为“状态转换模型”来收集目标人员信息的过程。在初始状态下，攻击者拥有的“与攻击对象人有关的信息”被写为{X0}。当攻击者向OSINT工具输入{X0}并获得与攻击目标有关的新信息X1时，状态更改为{X0，X1}（从{X0}开始）。

攻击者继续向OSINT工具输入{X0，X1}，然后可以获取与攻击目标有关的更多（新）信息X2，状态从{X0}更改为{X0，X1}。

之后，重复此操作。例如，在攻击者拥有目标的信息{名称，电话号码}的状态下，当可以通过在OSINT工具中输入“名称”，“电话号码”或两者同时获得“地址”信息时，状态转换从{名称，电话号码}更改为{名称，电话号码，地址}。

攻击者自由使用任意OSINT工具并重复上述步骤1和2的OSINT活动。这些是OSINT工具组（Recon-NG，Maltego，Creepy，Metagool，Tinfoleak，EmailHarvester，Harvester，SpiderFoot和ExifTool），假定攻击者使用以上工具组进行OSINT信息收集。

3.3 状态转移模型的制定

当作者实际使用上一节中提到的9种OSINT工具来尝试进行OSINT活动时，就有可能“攻击者使用OSINT工具的过程一个接一个地收集目标的信息”状态转换模型（图3）。在这次要制定的状态转换模型中，提供以下假设以简化模型。

要考虑的OSINT数据类型仅限于姓名，电话号码，电子邮件地址，社交媒体帐户，兴趣爱好，位置信息，友谊，关联组织名称，组织中的管理人员姓名以及组织的公共信息。

假设攻击者仅将攻击目标{name}保留为初始状态，以建立状态转换模型。

不要考虑可以从保存的信息中推断出的信息。（例如，在发现要攻击的邮件地址的域是“ac.jp”时，很容易猜出该对象属于教育机构，但是这次不进行这种推论。）

如果您在OSINT工具中输入社交媒体帐户，则始终可以获取有关该帐户中人们的爱好，位置信息和人们的友谊的信息（图3中的*a）。（实际上，有些人在Twitter上的推文中包含位置信息，而有些人则根本不包含这些信息。但是，为简便起见，我们假设这三类信息通常是从社交媒体得知的。）

当前有多个组织在网页上发布IR信息等，因此，如果您在OSINT工具中输入组织的名称，您将能够获取与主管人员姓名，业务内容和集团公司（亲属）相关的信息（图3中的*b）。目前，我们将重点关注有针对性的电子邮件攻击（通过电子邮件的有针对性的攻击），因此我们从处理的OSINT数据中排除“地址”，即与邮政邮件有关的信息。

3.4 可以被攻击者利用的状态（state）

攻击者可以在四个状态（状态（3），（4），（7），（10））中创建典型的目标邮件，在该四个状态中，可以在图3所示的状态转换模型中发送目标电子邮件，如图3、4、5、6、7和8所示。

状态（3）（图4）：在状态（3）中，由于攻击者持有的与攻击目标有关的信息仅是“邮件地址”和“名称”，因此邮件的内容并不取决于攻击目标人。尽管可以将其称为目标邮件，因为名称是写在邮件的文本中的，但它与一般网络钓鱼邮件的内容很接近。

状态（4）（图5）：在状态（4）中，攻击者可以在邮件文本中加入攻击目标的“电话号码”。即使你与电子邮件无关，电子邮件正文中包含的信息也肯定是你的，因此，目标被欺骗的可能性（他们可以访问电子邮件中的链接）被认为是增加了。

此外，担心电子邮件的发件人知道他/她的电话号码可能会使目标人感到焦虑，并且会失去冷静的判断力。我们在这种情况下，没有考虑目标人员的“地址”，但是如果攻击者可以获得攻击目标人员的地址（而不是电话号码），则可以创建目标电子邮件，如图7所示。

状态（7）（图7）：在状态（7）中，攻击者已从目标人的社交媒体帐户名获取了有关其兴趣，位置信息和友谊的信息，从而能够创建模拟目标用户朋友的目标电子邮件。在这种状态下，可以在邮件中包含攻击目标的私人信息，并且可以创建具有高可信度的目标电子邮件。此外，已知发件人发送的冒充亲密人士的邮件能有效地使收件人变得盲目[7]，因此，威胁程度被认为很高。

状态（10）（图8）：在状态（10）中，攻击者可以创建有针对性的电子邮件，就像是日本养老金服务局在2015年5月造成的大规模信息泄漏事件[8]的触发一样。发生此事件时，电子邮件的主题和正文包含在企业的内容以及高管人员的姓名中，日本退休金服务在该网页上发布，因此创建了高度可靠的目标电子邮件。

4.探讨

4.1每种状态下的目标邮件类型

在3.1中，我们将目标电子邮件攻击的目标范围缩小到“特定个人”，但是在这里，我们将“特定个人”分为了三类（如表1所示）。

例如，即使状态（1）中的攻击者可以通过OSINT活动获取“与目标人的名字有关的Gmail地址”，也可能是另一个具有相同名字的人的邮件地址。换句话说，在状态（3）中，不能说可以唯一地确定攻击目标人物（图9）。

例如，当攻击者的目的是“欺骗拥有相同名字的人中的其中一个”时，就会出现这种情况。即，状态（3）中的目标类型邮件会被发送到拥有相同名称的目标（地毯轰炸类型）。另一方面，可以说电话号码和附属组织是识别特定个人的唯一信息（图10）。

因此，状态（4）和状态（8）的目标类型电子邮件旨在仅出于攻击者的目的而针对攻击目标“欺骗特定人员”或“欺骗特定组织的特定人员”（特定的个人类型，特定的成员类型）。图11显示了每种状态下目标电子邮件类型的趋势。

4.2模型及其应用

可以了解攻击者收集有关目标人员的信息的进程以及在每种状态下创建的目标电子邮件的过程。

首先，掌握针对性电子邮件攻击的深度。当目标电子邮件发送给你时，可以估算出攻击者正在收集的有关你的信息量。此外，还可以预测将来，随着攻击者信息收集的进展，将发送哪种类型的目标电子邮件。这使你可以注意预期的目标类型的电子邮件，并且可以知道其他攻击者将发送类似的目标电子邮件的可能性，这对风险有一定的预测作用。

其次，要掌握披露的“关于自己的信息”，并应阻止这些信息的暴露，以防止攻击者创建高度可靠的目标电子邮件。例如，从图3所示的状态转换模型中可以看出，避免以你的姓名（真实姓名）和社交媒体帐户同时出现的情况，不然会帮助攻击者进入状态（7）中。

第三，可以根据个人和组织的信息披露程度，针对电子邮件攻击采取对策。考虑到可能会使用OSINT获得的更多信息来发送具有高可信度的目标电子邮件，因此有必要提出针对目标电子邮件攻击的对策。

5. 相关工作

关于OSINT在社会工程中的有效性，正在对参考文献[3、9、10]进行研究。鲍尔等学者，提到OSINT有可能用于社会工程和犯罪活动，因为全世界积累的数据量呈指数级增长，并进一步讨论了使用OSINT对组织员工发起鱼叉式网络钓鱼攻击的方法[3]。

他们在论文中指出，攻击者介绍了OSINT工具来收集信息，并描述了使用专用工具进行鱼叉式网络钓鱼的方法。爱德华兹等学者，将OSINT数据分为两类，Bootstrap（用于触发攻击的数据）和Accentuator（用于增强攻击有效性的数据补充），它们展示了如何在社会工程学中使用这些数据[9]。他们还调查了可以利用OSINT收集有关供水，燃气和电力等公用事业的企业的信息，例如雇员姓名，电话号码或电子邮件地址等信息。此外，他们揭示了由他们造成的社会工程学的威胁。

Silic等学者考察了使用社交媒体对财富500强公司进行社交工程的有效性[10]。具体来说，他们利用OSINT，创建了一个“伪造的社交媒体帐户”来模仿目标公司的一名员工，并成为由正式员工组成的社交媒体私人组织的成员，然后获取该公司的信息。结果很明显，员工容易被欺骗，容易受到社会工程的影响，并且组织目前没有任何方法可以控制来自社交媒体的安全威胁。

本文调查了多种OSINT工具，并将攻击者的信息收集过程表述为“状态转换图”，重点针对目标电子邮件攻击，并具体说明了如何在每种状态下利用信息（创建目标电子邮件）。因此，本文补充或加强了上述现有研究。机器学习和社会工程学的研究也在进行中[11]。

辛格等学者提出了一种学习模型，其中目标攻击的目标是公司的CFO（首席财务官），机器预测通过机器学习来预测人是否“能够成为目标（容易被欺骗）”[11]。学习数据包括CFO的年龄和性别，Twitter上的关注者和推文数量，通过Twitter或LinkedIn获得网络钓鱼是否成功等等。通过机器学习，有80％的准确度识别目标（被欺骗）的人，这也更证明了社会工程学使用它将会得到更进一步的发展。

关于自动生成目标电子邮件，Iwata等人提出了针对目标电子邮件攻击训练中接收电子邮件的分析方法，以自动生成训练电子邮件[12]。在分析了用户收到的电子邮件后，他们确认您信任并打开了哪种电子邮件，并给出诸如“类似于日常电子邮件，但其不自然性使您注意到它是一封电子邮件”之类的注释。电子邮件”，然后创建培训电子邮件。由Singh等人进行的研究。和岩田等。表明攻击者可以利用大数据技术和AI技术来执行复杂的社交工程。从现在开始，为复杂的社会工程和针对性的电子邮件做准备很重要。

6. 总结

本文制定了攻击者使用OSINT工具作为状态转换模型来收集目标信息的过程，并对攻击者可以在每种状态下生成的目标电子邮件进行分类。获得的结果用于风险分析，例如掌握攻击的深度，假设通过公开的信息可以接收到哪种类型的目标电子邮件以及选择所需的安全措施。

简而言之，上述的事前/事后措施我们是可以做到的。在这里，我们主要分析了“针对特定个人的针对性电子邮件攻击”。但是，将来我们将进一步调查“针对电子邮件攻击的目标组织”。此外，尽管目前仅考虑了OSINT工具可以机械收集的信息，但是我们仍需考虑到一些用户无意中公开的信息（例如，公开文件的元数据）。将来，我们将通过考虑这些信息来改进这些状态转换模型。

参考文献：本文所有参考文献说明见原文。

论文来源：第33届高级信息网络和应用国际会议（AINA-2019）论文集1329–1341

封面来源：报告原文

来源：freebuf.com 2021-06-08 09:33:35 by: FYosint