Loading
0

对一次钓鱼网络攻击的逆向分析

Google-Phishing-Study.jpg

作为最近的一项研究,我们首先发现了两个钓鱼攻击域名,而在这两个域名之后是更多的域名,这些域名已经成功地攻击了超过1000多名用户,这项钓鱼攻击主要针对的是AOL、雅虎、LinkedIn等网站的用户。

1、钓鱼网站对应的域名信息

我们碰到的第一个域名为:f4hkn8ty1jety7sysf4hkn8ty.com,像是“猫步”域名——就是猫随意地再键盘上走动产生的域名。

6a0133f264aa62970b01b8d1e67d04970c-320wi.png

图1 “猫步“域名的由来

然而这个域名是用来对AOL用户进行网络钓鱼的:

6a0133f264aa62970b01bb09003f28970d-800wi.png

图2  AOL 钓鱼页面

但是,有趣的是,攻击者非常“善良”,虽然显示了钓鱼页面,但却没禁用其钓鱼网站的目录列表,在网站的根目录里竟然保存着受害者的明文凭据信息:

6a0133f264aa62970b01bb09003f6c970d.png

图3  钓鱼网站目录列表

6a0133f264aa62970b01b7c85cae20970b.png

图4  密码信息被储存在钓鱼网站站点目录列表的ole.txt文件中

在virustotal上检查时显示是恶意站点:

6a0133f264aa62970b01bb09003f76970d.png

图5  Virustotal url 扫描结果

Virustotal上更多的信息显示,这项钓鱼活动最早于2016年4月9日:

6a0133f264aa62970b01bb09003f7f970d.png

图6  Virustotal 里显示的更多域名信息

另一个有趣的地方是,我们注意到该域名通过MELBOURNEIT公司注册给了“Suzy Leprino”,而MELBOURNE IT是一个雅虎域名注册合作商。

还有一点让我们疑惑的是,域名对应的IP在曾经发生过变化,更准确地说,主机提供商从美国雅虎(Aabaco)变成了荷兰的Ecatel。

经过对两个IP历史的长期跟踪,我们发现原因可能是美国的IP已经被标记在许多黑名单中,攻击者想更换一个“干净”的IP。

6a0133f264aa62970b01b8d1e67d7d970c.png

图7  域名对应的新IP(左)  和 旧IP(右)

经过进一步的调查我们又发现了另一个有着相似特点的域名:nextblum.com ,像上面的“猫步”域名那样,其对应的是一个AOL钓鱼页面、使用相同的混淆技术、在域名网站根目录文件“OLE.txt”中保存明文凭据。这不可能是偶然的,这意味着两起钓鱼攻击可能都使用了相同的工具,甚至可能连攻击者都一样:

6a0133f264aa62970b01bb09003f97970d.png

图8  “ole.txt”文件信息

从VirusTotal的信息里面表明nextblum.com使用时间更长,所以如果两个域名与同一攻击者有关,那么这项攻击活动可能是在2016年3月10日前后开始的:

6a0133f264aa62970b01b7c85cae49970b.png

图9  nextblum.com域名的相关信息

以下是两个域名的相似度比较:

6a0133f264aa62970b01b7c85cae56970b.png

图10  “猫步”域名代码

6a0133f264aa62970b01bb09003fa9970d.png

图11  nextblum.com域名代码

唯一的不同之处在于域名nextblum.com上架设的钓鱼页面较多,包括:Yahoo、LinkedIn、Old Dominion University,、Lehigh University和一个用来针对.edu邮箱进行钓鱼的通用网页:

6a0133f264aa62970b01b7c85cae71970b.png

图12  nextblum.com域名上的AOL钓鱼页面

6a0133f264aa62970b01b8d1e67dc6970c.png

图13  nextblum.com域名上的.edu钓鱼页面

图13 的网络钓鱼网页是一个电子邮件重新验证页面,这类型的诈骗网页存在多年,而它们最近却以新颖时尚的黑色视图卷土重来。

这起事件的攻击者还曾经以另外一个域名data-rice.com,于2015年底发起过网络钓鱼攻击,后文将会提及。

6a0133f264aa62970b01b7c85caf26970b.png

图14  data-rice.com域名上的邮箱重新认证钓鱼页面(Phishtank的存档

6a0133f264aa62970b01b8d1e67e93970c.png

图15  nextblum.com上的LinkedIn钓鱼页面

6a0133f264aa62970b01b7c85caf49970b.png

图16  nextblum.com上的 Old Dominion 大学钓鱼页面

6a0133f264aa62970b01b8d1e67ea0970c.png

图17  nextblum.com上的Lehigh University大学钓鱼页面

2、网络钓鱼攻击使用的技术

在这些域名背后,攻击者使用了Base64编码加密混淆大部分网页,这种技术是全新的:我们发现这种技术被用于网络钓鱼攻击的最早参考案例是2012年10月,现如今攻击者将它与其它技术结合了起来,应用于网络钓鱼攻击。

使用这种技术,可以让攻击者有两个好处:

(1)混淆HTML代码并动态加载内容,所以它可能会绕过那些基于文件的安全防护措施。

6a0133f264aa62970b01b7c85caf54970b.png

图18  base64 encoded 数据

(2)另一个好处是,一旦加载钓鱼页面的URL,浏览器地址栏就变为格式:

“data:text/html;base64,<base64_blob_of_the_encoded_html_file>

如果用f4hkn8ty1jety7sysf4hkn8ty.com这样的域名来代替 aol.com,可能会引起用户警觉,但如果URL显示都像“data:text/html;base64″这样,可能许多用户由于不了解URL结构而错被它迷惑,这对攻击者来说自然就是个不错的选择了。

3、钓鱼网站域名的注册人信息

在我们的研究中,攻击者选择对.edu邮箱进行网络钓鱼攻击,这可能是.edu邮箱有特别的价值可寻:

许多大学使用SSO单点登录模式(SingleSign-On),这意味着大学里的所有服务都可能使用相同的凭据信息。有了邮箱密码就可以连接到大学的所有计算机网络中,或者是通过简单的RDP扫描就可识别出多数的远程终端。

攻击者可以从大学内部网络中横向渗透,以类似APT的攻击方式,给受害者通讯名单邮箱发送鱼叉式钓鱼邮件。再结合其它方式,在大学内部网络中建立大的网络据点。另外,大学网络能为攻击者提供一个方便的托管空间,而且.edu域名可以绕过很多安全过滤和黑名单机制,对受害者来说更加可信。

在几周的时间内,这个攻击者成功地获得了超过1000多个凭据信息。

让我们来看看Suzy Leprino的相关信息:

6a0133f264aa62970b01bb09004091970d.png

图19  ”Suzy”的另一个域名aninetwolks.com Whois信息

6a0133f264aa62970b01b7c85caf72970b.png

图20  “Suzy”的注册域名列表

你可以看到,在“Suzy”名下有有几个注册域名,这些域名都看起来可疑,包括   data-rice.com。

在调查中,我们发现 “Suzy”以两个或更多域名注册来进行网络钓鱼传播:

6a0133f264aa62970b01b7c85caf7a970b.png

图21  aninetwolks.com 域名网站目录列表 

6a0133f264aa62970b01b8d1e67ed3970c.png

图22  aninetwolks.com 域名网站的ole.txt文件

6a0133f264aa62970b01bb090040b3970d.png

图23  Virustotal url对aninetwolks.com的扫描结果

6a0133f264aa62970b01b8d1e67ee3970c.png

图24  Virustotal url对jamefgoldstein.com的扫描结果

我们不知道”Suzy”是一个假身份,还是早期钓鱼攻击中被窃取的身份。但是可以看到,当其注册域名进入黑名单后,攻击行动便立即更换了新的域名。

 4、好吧,在满天飞的垃圾邮件世界中,为什么一个网络钓鱼攻击者会对你的电子邮件感兴趣?

这里的可能有很多,这取决于攻击者:

(1)首先,攻击者可以向网络犯罪分子批量出售这些凭据信息,下一起网络钓鱼攻击让他们的辛勤工作有利可图;

(2)攻击者还可以获取通讯录账户信息并出售,网络犯罪分子就可以向这些邮箱账户发送附带着木马、勒索软件、广告等各种恶意邮件;

(3)攻击者也可以利用这些被攻击帐户的信任关系,向通讯录邮箱发送钓鱼邮件,这是社工角度的攻击,因为同事、家人、朋友的邮件信任度较高;

(4)另一个攻击向量是攻击者通过获取邮箱中的敏感隐私信息/图片,以此勒索赎金;

(5)攻击者也可能通过邮箱寻找其它登录凭据,如银行金融密码信息、个人网站博客密码信息等;

(6)还有一个攻击向量可能是利用相同的邮件账户,尝试登录其它网站,因为很多人会使用同样的凭据信息去登录不同的网站,而邮件账户可能就是登录名。这种组合方式利用,适用于很多在线购物网站,如Paypal等。

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。