概念研究：新型攻击可以修改已发送的电子邮件内容

“Ropemaker”攻击

电子邮件和云安全提供商Mimecast公司的安全研究员Francisco Ribeiro率先发现了该攻击手段，并将其命名为“Ropemaker”——代表“远程操纵发送成功的电子邮件，造成电子邮件安全威胁”的一种攻击形式。

成功利用Ropemaker攻击，可能会允许攻击者远程修改由攻击者本身发送的电子邮件的内容，例如将原本邮件中无害的链接替换成恶意链接。

即使电子邮件已经成功发送给收件人，并通过了所有必要的垃圾邮件和安全过滤器检测，攻击者仍然可以在无需访问用户计算机和电子邮件应用程序的情况下，令数亿桌面电子邮件客户端用户暴露于恶意软件攻击之下。

攻击是如何实现的？

据悉，Ropemaker攻击利用了层叠样式表（CSS）和超文本标记语言（HTML），而这些正是组成Internet上信息呈现方式的基本部分。

Mimecast公司高级产品营销经理Matthew Gardiner在一篇博文中写道，

ROPEMAKER攻击的起源在于一些基于PC的电子邮件应用程序使用了Web技术，更具体地说是同时使用了层叠样式表（CSS）和超文本标记语言（HTML）。虽然使用这些网络技术使电子邮件在视觉上比纯文本电子邮件更具吸引力和动态性，但这也为电子邮件引入了可利用的攻击向量。

研究人员表示，由于CSS是远程托管的，所以攻击者可以通过远程启动电子邮件来控制电子邮件的样式呈现方式和实际内容，然后在无需访问收件人电子邮件的情况下，将修改后的邮件呈现给用户，所以，即便是技术再精湛的用户也不会察觉到异常。

根据研究人员的说法，Ropemaker攻击可以根据攻击者的创造力发挥效用。例如，攻击者可以将原来指向用户的链接替换为恶意链接，该链接会将用户重定位至受感染的网站，该网站旨在用恶意软件感染用户或窃取敏感信息，如登录凭证以及银行信息等。

虽然有些系统已经加入了链接检测程序，防止用户打开恶意链接，但是不可避免地，仍然会有用户面临安全隐患。

被Mimecast称为“矩阵漏洞利用”（Matrix Exploit）的另一种攻击场景要比“Switch Exploit”复杂的多，因此也更难以发现和防御。

在“矩阵漏洞利用”攻击中，攻击者会在电子邮件中写入文本矩阵，然后使用远程CSS文件控制收件人电子邮件的显示内容，从而允许攻击者显示任何想要呈现的内容，包括在电子邮件正文中添加恶意链接。

这种攻击更难防御，因为用户收到的初始电子邮件不显示任何链接，大多数的软件系统不会将其标记为“恶意”。

研究人员指出，

由于电子邮件中的链接是在发送完成后呈现的，所以像Mimecast电子邮件网管解决方案这样的检测程序根本无法在页面中找到、重写或是检测目标站点。因为在发送时，文件中根本没有链接可供检测。想要实现这些，需要使用远程CSS文件，而这已经超出了当前电子邮件安全系统的能力范围。

安全建议

Mimecast暂未将该问题标记为产品漏洞或基本架构漏洞，因为该安全公司目前暂未发现任何与Ropemaker攻击相关的实例，但该公司认为，这并不意味着这种攻击不会在Mimecast视野以外的地方出现，所以建议电子邮件应用程序提供商可以采取措施更好地保护用户免遭Ropemaker攻击威胁。

据该安全公司介绍，黑客可以使用Ropemaker绕过大多数常见的安全系统，甚至是技术精湛的用户也能够被攻击者在不知情的情况下替换恶意链接。为了防范这种攻击，建议用户可以使用一些基于浏览器的电子邮件客户端，例如Gmail、Outlook以及icloud等，这些客户端目前还不受Ropemaker攻击中的CSS漏洞影响。

但是，像Apple Mail、Microsoft Outlook以及Mozilla Thunderbird这样的电子邮件客户端都很容易受到Ropemaker的攻击，但是使用Apple Mail电子邮件的用户可以通过设置阻止自动化执行远程资源来进行防御，只是用户很少使用这一功能。