了解你的敌人：网络钓鱼

尝试攻击
[2004-07[2004-07-19 11:56:50 bash 0]./root -b 0 -v ns1.victim.net
查看已经成功攻陷的主机
[2004-07[2004-07-23 08:13:25 bash 0]cat hacked.servers
批量扫描攻击观察到的一些特征
尝试攻击的主机IP并不在从蜜罐扫描的IP地 尝试攻击的主机IP并不在从蜜罐扫描的IP地 址范围内
通过僵尸工具在客户端打开特定页面
[TOPIC] #spam9 :.open http://amateur.example.com/l33tag3/beta.html -s
传播Spyware 传播Spyware
http://public.example.com/prompt.php?h=6d799fbeef3a9b3 86587f5f7b37f[...]
了解你的敌人－ 了解你的敌人－ 网络钓鱼
原文由英国/ 原文由英国/德国蜜网项目组发表 狩猎女神项目组 诸葛建伟
内容
背景 工具和策略 真实世界的网络钓鱼技术
通过攻陷的网站服务器钓鱼 通过端口重定向钓鱼 通过僵尸网络进行钓鱼
普遍的攻击旋律 进一步的发现： 进一步的发现：资金转账 进一步的研究
什么是网络钓鱼攻击？ 什么是网络钓鱼攻击？
目标：获取个人敏感信息
用户名、口令、帐号ID、 用户名、口令、帐号ID、ATM PIN码或信用卡信息 PIN码或信用卡信息
手段：钓鱼
攻陷主机 架设钓鱼网站－目标：知名金融机构及商务网站 发送大量欺骗性垃圾邮件 滥用个人敏感信息
资金转账－经济利益 冒用身份－犯罪目的
网络钓鱼攻击的起源
欺骗方式获取口令
客户端蜜罐技术 对付和阻止网络钓鱼攻击的潜在方法 对网络钓鱼者通讯及资源流通进行监控 攻击案例的自动化分析
Leabharlann Baidu
结论
网络钓鱼攻击的模式
以著名的一些组织结构为目标，架设其钓鱼网站 发送欺骗性垃圾邮件，引诱受害者访问钓鱼网站 安装重定向服务，将网站流量都转发到已架设的钓鱼 网站 通过僵尸网络传播垃圾邮件和钓鱼邮件
欺骗性垃圾邮件
发送途径－难以追踪
境外的开放邮件服务器，僵尸网络
发送源－冒充知名权威机构 发送内容－安全理由、紧急事件，欺骗用户访问钓鱼 网站，给出敏感个人信息
钓鱼攻击策略－欺骗的技巧 钓鱼攻击策略－
使用IP地址代替域名 使用IP地址代替域名 注册发音相近或形似的DNS域名 注册发音相近或形似的DNS域名 多数真实的链接中混杂关键的指向假冒钓鱼网站 的链接 对链接URL进行编码和混淆 对链接URL进行编码和混淆
批扫描工具
攻陷有漏洞的主机
个人PC主机 个人PC主机
架设钓鱼网站
前台假冒网站：知名的金融机构、在线电子商 务网站 后台脚本：收集、验证用户输入，并通过某种 渠道转发给钓鱼者
钓鱼攻击策略－欺骗技术 钓鱼攻击策略－
欺骗用户访问钓鱼网站
DNS中毒攻击 DNS中毒攻击 Pharming － 网络流量重定向 (自动化)社交工程－欺骗性垃圾邮件 自动化)
受害者是否到达 钓鱼网站
从案例中发现的一些特征
键击记录：连接后门马上开始熟练工作
较高技术水平－不再是脚本小子的小打小闹 组织性
与扫描和攻陷蜜罐攻击具有强连续性 集中服务器存放所需的钓鱼网站内容和其他攻击工 具
并行性
同一攻陷服务器上架设多个钓鱼网站 欺骗性垃圾邮件同时从多个系统中发出 令人惊讶的发现：在钓鱼网站完成架设前，即发现 连入的钓鱼网站网页请求
普遍的攻击旋律－批量扫描攻击 普遍的攻击旋律－
扫描大量IP地址空间以寻找存在漏洞的主机 扫描大量IP地址空间以寻找存在漏洞的主机 实际案例
Superwu Mole
键击记录
批量扫描
[2004-07[2004-07-18 15:23:31 bash 0]tar zxvf mole.tgz [2004-07[2004-07-18 15:23:33 bash 0]cd mole [2004-07[2004-07-18 15:23:38 bash 0]./mazz 63.2
批量扫描攻击行为的高协同性和并行性
Mole.tgz中发现的扫描结果文件 Mole.tgz中发现的扫描结果文件
42个针对其他主机的攻击案例 42个针对其他主机的攻击案例 针对多个B 针对多个B类地址空间的扫描结果
发现的批量扫描工具并没有大规模传播
一定水平的开发能力和工具开发能力 良好的组织性
普遍的攻击旋律－组合式攻击 普遍的攻击旋律－
IDN spoofing
攻击浏览器，隐藏消息内容的本质 假冒钓鱼网站的透明性 代理服务器模式 恶意软件安装浏览器助手工具 修改本地DNS域名和IP地址映射的hosts文件 修改本地DNS域名和IP地址映射的hosts文件
真实世界中的网络钓鱼攻击技术
通过攻陷的网站服务器钓鱼 通过端口重定向钓鱼 通过僵尸网络进行钓鱼
进一步的发现：资金转账 进一步的发现：
跨国资金转账的难度 通过中介进行转账
群发垃圾邮件寻找中介 受害者账号 (转账)中介人账号 转账) 中介人 (地面信件)钓鱼者 地面信件)
垃圾邮件示例
进一步的研究工作
如何用蜜罐技术帮助发现垃圾邮件和钓鱼 攻击
部署具有吸引力的蜜罐（SMTP 部署具有吸引力的蜜罐（SMTP Open Relay） Relay）
社交工程 特洛伊木马－键击记录器
1990s
过程自动化、目标转向互联网用户 Spyware Phishing
对钓鱼攻击最早的研究工作
1998年Gordon和 1998年Gordon和Chess －针对AOL的恶意软件 －针对AOL的恶意软件
钓鱼攻击策略－架设钓鱼网站 钓鱼攻击策略－
大规模扫描有漏洞的主机
网络钓鱼攻击观察到的一些特征
较高的技术水平，良好的组织性 分布式、并行攻击 僵尸网络、垃圾邮件和网络钓鱼攻击的融合
到达钓鱼网站的HTTP请求分布 到达钓鱼网站的HTTP请求分布
通过端口重定向钓鱼
端口重定向器
透明地将连入的TCP连接转发到一个远程的目 透明地将连入的TCP连接转发到一个远程的目 标主机 redir --lport=80 --laddr=<IP address of honeypot> --lport=80 --laddr=<IP --cport=80 --caddr=221.4.XXX.XXX （中国的IP） --cport=80 --caddr=221.4.XXX.XXX （中国的IP） 透明地将受害者重定向到主钓鱼网站 36小时的时间段内，721个受害IP地址 36小时的时间段内，721个受害IP地址
通过攻陷的网站服务器钓鱼
攻击者扫描网段，寻找有漏洞的服务器 服务器被攻陷，并安装一个rootkit或口令保护的后 服务器被攻陷，并安装一个rootkit或口令保护的后 门工具 钓鱼者从加密的后门工具获得对服务器的访问权 下载已构建完毕的钓鱼网站内容 内容配置和网站测试工作
第一次访问钓鱼网站的IP地址可能是钓鱼者的真实IP地 第一次访问钓鱼网站的IP地址可能是钓鱼者的真实IP地 址
通过僵尸网络进行钓鱼
僵尸网络用于发送垃圾邮件
启动SOCKS代理服务 启动SOCKS代理服务
僵尸工具中支持垃圾邮件发送的功能
harvest.emails – 使得僵尸工具获得一个Email地址列表 使得僵尸工具获得一个Email地址列表 Email harvest.emailshttp – 使得僵尸工具通过HTTP获得一个 使得僵尸工具通过HTTP获得一个 Email地址列表 Email地址列表 spam.setlist – 下载一个Email地址列表 下载一个Email地址列表 spam.settemplate – 下载一个Email模板 下载一个Email模板 spam.start – 开始发送垃圾邮件 spam.stop – 停止发送垃圾邮件
群发电子邮件工具被下载，并用以大规模散发包 含假冒钓鱼网站信息的欺骗性垃圾邮件 潜在的受害者开始访问恶意的网页内容
德国/ 德国/英国蜜网研究组捕获案例
数据 被攻陷的蜜罐 部署位置 攻击方法 被利用的漏洞 获得的访问权限 安装的Rootkit 可能的攻击者 网站行为 服务器端后台处 理 电子邮件活动 群发电子邮件 德国案例 Redhat Linux 7.1 x86. 德国企业网络 "Superwu" autorooter. Wu-Ftpd File globbing heap corruption vulnerability Root. Simple rootkits that backdoors several binaries. 未知 下载多个构建好的以eBay和多家美国 银行为目标的钓鱼网站 用于验证用户输入的PHP脚本 企图发送垃圾邮件, 但被Honeywall所拦 截. 从一个中量级Email地址输入列表进行 垃圾邮件群发的Basic PHP script 没有，垃圾邮件的发送和对钓鱼网站 的访问被阻断 英国案例 Redhat Linux 7.3 x86. 英国ISP数据中心 Mole mass scanner. NETBIOS SMB trans2open buffer overflow Root. SHV4 rootkit 来自罗马尼亚的拨号IP网络的多个组织 下载一个预先构建的以一家美国主要银行 为目标的钓鱼网站 拥有更高级用户输入验证和数据分类的 PHP脚本 仅测试了邮件发送，可能是给钓鱼者同伙， Improved syntax and presentation. 从一个小量级的Email地址输入列表进行垃 圾邮件群发的Basic PHP script – 可能仅仅 是一次测试. 有，在4天内有265个HTTP请求到达，但不 是因为从服务器发出的垃圾邮件所吸引的
僵尸网络发送垃圾邮件的示例
发送垃圾邮件
<St0n3y> .mm http://www.example.com/email/fetch.php?4a005aec5d7dbe 3b01c75aab2b1c9991 http://www.foobar.net/pay.html Joe did_u_send_me_this