网络钓鱼仍然是当今企业面临的最大和最不确定的威胁之一,这两年RiskIQ安全组织处理了大量与网络攻击有关的网络钓鱼事件。利用自己开发的网络安全检测软件,RiskIQ安全组织已从各种渠道收集到了可能是钓鱼的网址,在利用网页抓取工具对这些网址进行检查后,RiskIQ安全组织还以实际用户的身份进入到这些网址进行了真实检测,最后通过RiskIQ安全组织的机器学习技术分析出最后的结果,以对每个检测到的网络钓鱼进行分类识别。
那些钓鱼网页的基础架构通常采用两种形式:自维护的自定义基础结构和被滥用或攻击的属于其他人的基础结构。以下是被滥用或被攻击的属于其他人的基础结构的电子邮件的钓鱼页面的实例。
另外,RiskIQ安全组织在网上查看一些资料,找到了这个钓鱼工具的其他例子:
·llyyuia.com/sendmail/index2.htm
·brazilconsul.cc/teste/drop/index2.htm
·alpinenatureexperience.com.au/wp-admin/js/prank/solorous/sendmail/index2.htm
·
·
·infonetcomm.com/css/sendmail/index2.htm
·
·
·eduquersonenfant.com/wp-admin/css/sendmail/index2.htm
·folhadojalapao.com.br/wp-admin/css/sendmail/index2.htm
·pdqmei.com/wp-admin/css/sendmail/index2.htm
·
·reisu.com/sendmail/index2.htm
正如你所看到的,这些钓鱼示例的名称中似乎有一个主题,每个URL都包含“sendmail”。另外,每个钓鱼网站的设计中都非常相似。
当RiskIQ安全组织探索这些页面时,首先检查主机是否受到攻击(大多数是这样的),如果是的话,找出攻击发生的位置。当然有一些明显的例子如何检测网页是否是钓鱼网站,比如URL中有'/ wp-admin /'路径,这表明它可能是一个WordPress样本。在上述钓鱼攻击中,当从其URL中删除尾随文件名'index2.htm'时,某些主机会显示出钓鱼工具包的结构:
可以有三个文件-index2.htm,sub.php和rop.php,RiskIQ安全组织可以在以上给出的链接中找到对'rop.php'的引用。钓鱼页面的来源显示,它是通过POST请求将被盗的凭证发送到此脚本的。
由RiskIQ网络爬虫工具捕获的被盗凭证
至于sub.php,RiskIQ安全组织目前还对它的功能一无所知。通过挖掘这个钓鱼工具包的更多实例,RiskIQ安全组织发现了另一个目录索引,只是这次钓鱼工具包的实例已经消失,但是,攻击者在恶意软件安装后就离开了。
网络钓鱼钓鱼工具包的安装
RiskIQ安全组织在打开disruptive.zip文件并查看后,发现它包含RiskIQ安全组织在上面目录列表中找到的所有三个文件,以下就是RiskIQ安全组织找到的rop.php的源代码。
RiskIQ安全组织从而可以发现大多数钓鱼工具使用的盗取证书的一般方法——发送一封带有凭证的电子邮件。RiskIQ安全组织找到了犯罪分子的电子邮件地址parkerfred2.0@mail.ru。RiskIQ安全组织还可以看到sub.php的用法,其中用户在发出凭证后被重定向,其中包含以下内容。
该脚本会将受害者重定向到Microsoft Windows网站上的特定页面如何检测网页是否是钓鱼网站,通过挖掘这个钓鱼工具包的更多实例,RiskIQ安全组织发现了另一个zip文件的情况。
包含zip文件的Phish kit结构
在这个zip文件中,RiskIQ安全组织还看到了rop.php中的一个电子邮件地址,它与RiskIQ安全组织的数据有一些有趣的联系。RiskIQ安全组织发现的电子邮件地址是langmesserpp@gmail.com,你可以在PassiveTotal的WHOIS搜索中找到链接到单个域的信息。
langmesserpp@gmail.com的WHOIS
该网站本身就有不少IP的信息,但目前都已经失效。有趣的是,这个域名与一个名为'McClean Law Group'的佛罗里达州律师事务所的域名mccleanlawgroup.com非常相似。不过,除了名称相似之外,RiskIQ安全组织没有发现这两个网站的其他相似内容。
版权声明
本文仅代表作者观点。
本文系作者授权发表,未经许可,不得转载。
发表评论