了解你的敌人网络钓鱼(精)

钓鱼攻击策略－欺骗的技巧



使用IP地址代替域名 注册发音相近或形似的DNS域名 多数真实的链接中混杂关键的指向假冒钓鱼网站 的链接 对链接URL进行编码和混淆

IDN spoofing
攻击浏览器，隐藏消息内容的本质 假冒钓鱼网站的透明性 代理服务器模式 恶意软件安装浏览器助手工具 修改本地DNS域名和IP地址映射的hosts文件
了解你的敌人－ 网络钓鱼
原文由英国/德国蜜网项目组发表 狩猎女神项目组 诸葛建伟
内容

背景 工具和策略 真实世界的网络钓鱼技术

通过攻陷的网站服务器钓鱼 通过端口重定向钓鱼 通过僵尸网络进行钓鱼

普遍的攻击旋律 进一步的发现：资金转账 进一步的研究
什么是网络钓鱼攻击？

目标：获取个人敏感信息
SHV4 rootkit
来自罗马尼亚的拨号IP网络的多个组织 下载一个预先构建的以一家美国主要银行 为目标的钓鱼网站 拥有更高级用户输入验证和数据分类的 PHP脚本 仅测试了邮件发送，可能是给钓鱼者同伙， Improved syntax and presentation. 从一个小量级的Email地址输入列表进行垃 圾邮件群发的Basic PHP script – 可能仅仅 是一次测试. 有，在4天内有265个HTTP请求到达，但不 是因为从服务器发出的垃圾邮件所吸引的

钓鱼攻击策略－欺骗技术

欺骗用户访问钓鱼网站

DNS中毒攻击 Pharming － 网络流量重定向 (自动化)社交工程－欺骗性垃圾邮件 发送途径－难以追踪


欺骗性垃圾邮件

境外的开放邮件服务器，僵尸网络

发送源－冒充知名权威机构 发送内容－安全理由、紧急事件，欺骗用户访问钓鱼 网站，给出敏感个人信息
受害者是否到达 钓鱼网站
从案例中发现的一些特征

键击记录：连接后门马上开始熟练工作
较高技术水平－不再是脚本小子的小打小闹 组织性

与扫描和攻陷蜜罐攻击具有强连续性 集中服务器存放所需的钓鱼网站内容和其他攻击工 具


并行性
同一攻陷服务器上架设多个钓鱼网站 欺骗性垃圾邮件同时从多个系统中发出 令人惊讶的发现：在钓鱼网站完成架设前，即发现 连入的钓鱼网站网页请求
真实世界中的网络钓鱼攻击技术

通过攻陷的网站服务器钓鱼 通过端口重定向钓鱼 通过僵尸网络进行钓鱼
通过攻陷的网站服务器钓鱼



攻击者扫描网段，寻找有漏洞的服务器 服务器被攻陷，并安装一个rootkit或口令保护的后 门工具 钓鱼者从加密的后门工具获得对服务器的访问权 下载已构建完毕的钓鱼网站内容 内容配置和网站测试工作
安装的Rootkit
可能的攻击者 网站行为 服务器端后台处 理 电子邮件活动 群发电子邮件
Simple rootkits that backdoors several binaries.
未知 下载多个构建好的以eBay和多家美国 银行为目标的钓鱼网站 用于验证用户输入的PHP脚本 企图发送垃圾邮件, 但被Honeywall所拦 截. 从一个中量级Email地址输入列表进行 垃圾邮件群发的Basic PHP script 没有，垃圾邮件的发送和对钓鱼网站 的访问被阻断
过程自动化、目标转向互联网用户 Spyware Phishing


对钓鱼攻击最早的研究工作

1998年Gordon和Chess －针对AOL的恶意软件
钓鱼攻击策略－架设钓鱼网站

大规模扫描有漏洞的主机

批扫描工具
攻陷有漏洞的主机

个人PC主机
架设钓鱼网站
前台假冒网站：知名的金融机构、在线电子商 务网站 后台脚本：收集、验证用户输入，并通过某种 渠道转发给钓鱼者

到达钓鱼网站的HTTP请求分布
通过端口重定向钓鱼

端口重定向器
透明地将连入的TCP连接转发到一个远程的目 标主机 redir --lport=80 --laddr=<IP address of honeypot> --cport=80 --caddr=221.4.XXX.XXX （中国的IP） 透明地将受害者重定向到主钓鱼网站 36小时的时间段内，721个受害IP地址

第一次访问钓鱼网站的IP地址可能是钓鱼者的真实IP地 址

群发电子邮件工具被下载，并用以大规模散发包 含假冒钓鱼网站信息的欺骗性垃圾邮件 潜在的受害者开始访问恶意的网页内容
德国/英国蜜网研究组捕获案例
数据 被攻陷的蜜罐 部署位置 攻击方法 被利用的漏洞 获得的访问权限 德国案例 Redhat Linux 7.1 x86. 德国企业网络 "Superwu" autorooter. Wu-Ftpd File globbing heap corruption vulnerability Root. 英国案例 Redhat Linux 7.3 x86. 英国ISP数据中心 Mole mass scanner. NETBIOS SMB trans2open buffer overflow Root.

僵尸工具中支持垃圾邮件发送的功能


僵尸网络发送垃圾邮件的示例

发送垃圾邮件

<St0n3y> .mm http://www.example.com/email/fetch.php?4a005aec5d7dbe 3b01c75aab2b1c9991 http://www.foobar.net/pay.html Joe did_u_send_me_this [TOPIC] #spam9 :.open http://amateur.example.com/l33tag3/beta.html -s http://public.example.com/prompt.php?h=6d799fbeef3a9b3 86587f5f7b37f[...]

通过僵尸网络进行钓鱼

僵尸网络用于发送垃圾邮件

启动SOCKS代理服务 harvest.emails – 使得僵尸工具获得一个Email地址列表 harvest.emailshttp – 使得僵尸工具通过HTTP获得一个 Email地址列表 spam.setlist – 下载一个Email地址列表 spam.settemplate – 下载一个Email模板 spam.start – 开始发送垃圾邮件 spam.stop – 停止发送垃圾邮件

用户名、口令、帐号ID、ATM PIN码或信用卡信息 攻陷主机 架设钓鱼网站－目标：知名金融机构及商务网站 发送大量欺骗性垃圾邮件 滥用个人敏感信息


手段：钓鱼

资金转账－经济利益 冒用身份－犯罪目的
网络钓鱼攻击的起源

欺骗方式获取口令
社交工程 特洛Fra Baidu bibliotek木马－键击记录器


1990s