作為最近的一項研究,我們首先發現了兩個釣魚攻擊域名,而在這兩個域名之後是更多的域名,這些域名已經成功地攻擊了超過1000多名使用者,這項釣魚攻擊主要針對的是AOL、雅虎、LinkedIn等網站的使用者。
1、釣魚網站對應的域名資訊
我們碰到的第一個域名為:f4hkn8ty1jety7sysf4hkn8ty.com,像是“貓步”域名——就是貓随意地再鍵盤上走動産生的域名。
圖1 “貓步“域名的由來
然而這個域名是用來對AOL使用者進行網絡釣魚的:
圖2 AOL 釣魚頁面
但是,有趣的是,攻擊者非常“善良”,雖然顯示了釣魚頁面,但卻沒禁用其釣魚網站的目錄清單,在網站的根目錄裡竟然儲存着受害者的明文憑據資訊:
圖3 釣魚網站目錄清單
圖4 密碼資訊被儲存在釣魚網站站點目錄清單的ole.txt檔案中
在virustotal上檢查時顯示是惡意站點:
圖5 Virustotal url 掃描結果
Virustotal上更多的資訊顯示,這項釣魚活動最早于2016年4月9日:
圖6 Virustotal 裡顯示的更多域名資訊
另一個有趣的地方是,我們注意到該域名通過MELBOURNEIT公司注冊給了“Suzy Leprino”,而MELBOURNE IT是一個雅虎域名注冊合作商。
還有一點讓我們疑惑的是,域名對應的IP在曾經發生過變化,更準确地說,主機提供商從美國雅虎(Aabaco)變成了荷蘭的Ecatel。
經過對兩個IP曆史的長期跟蹤,我們發現原因可能是美國的IP已經被标記在許多黑名單中,攻擊者想更換一個“幹淨”的IP。
圖7 域名對應的新IP(左) 和 舊IP(右)
經過進一步的調查我們又發現了另一個有着相似特點的域名:nextblum.com ,像上面的“貓步”域名那樣,其對應的是一個AOL釣魚頁面、使用相同的混淆技術、在域名網站根目錄檔案“OLE.txt”中儲存明文憑據。
這不可能是偶然的,這意味着兩起釣魚攻擊可能都使用了相同的工具,甚至可能連攻擊者都一樣:
圖8 “ole.txt”檔案資訊
從VirusTotal的資訊裡面表明nextblum.com使用時間更長,是以如果兩個域名與同一攻擊者有關,那麼這項攻擊活動可能是在2016年3月10日前後開始的:
圖9 nextblum.com域名的相關資訊
以下是兩個域名的相似度比較:
圖10 “貓步”域名代碼
圖11 nextblum.com域名代碼
唯一的不同之處在于域名nextblum.com上架設的釣魚頁面較多,包括:Yahoo、LinkedIn、Old Dominion University,、Lehigh University和一個用來針對.edu郵箱進行釣魚的通用網頁:
圖12 nextblum.com域名上的AOL釣魚頁面
圖13 nextblum.com域名上的.edu釣魚頁面
圖13 的網絡釣魚網頁是一個電子郵件重新驗證頁面,這類型的詐騙網頁存在多年,而它們最近卻以新穎時尚的黑色視圖卷土重來。
這起事件的攻擊者還曾經以另外一個域名data-rice.com,于2015年底發起過網絡釣魚攻擊,後文将會提及。
圖14 data-rice.com域名上的郵箱重新認證釣魚頁面(Phishtank的存檔)
圖15 nextblum.com上的LinkedIn釣魚頁面
圖16 nextblum.com上的 Old Dominion 大學釣魚頁面
圖17 nextblum.com上的Lehigh University大學釣魚頁面
2、網絡釣魚攻擊使用的技術
在這些域名背後,攻擊者使用了Base64編碼加密混淆大部分網頁,這種技術是全新的:我們發現這種技術被用于網絡釣魚攻擊的最早參考案例是2012年10月,現如今攻擊者将它與其它技術結合了起來,應用于網絡釣魚攻擊。
使用這種技術,可以讓攻擊者有兩個好處:
(1)混淆HTML代碼并動态加載内容,是以它可能會繞過那些基于檔案的安全防護措施。
圖18 base64 encoded 資料
(2)另一個好處是,一旦加載釣魚頁面的URL,浏覽器位址欄就變為格式:
“data:text/html;base64,<base64_blob_of_the_encoded_html_file>”
如果用f4hkn8ty1jety7sysf4hkn8ty.com這樣的域名來代替 aol.com,可能會引起使用者警覺,但如果URL顯示都像“data:text/html;base64″這樣,可能許多使用者由于不了解URL結構而錯被它迷惑,這對攻擊者來說自然就是個不錯的選擇了。
3、釣魚網站域名的注冊人資訊
在我們的研究中,攻擊者選擇對.edu郵箱進行網絡釣魚攻擊,這可能是.edu郵箱有特别的價值可尋:
許多大學使用SSO單點登入模式(SingleSign-On),這意味着大學裡的所有服務都可能使用相同的憑據資訊。有了郵箱密碼就可以連接配接到大學的所有計算機網絡中,或者是通過簡單的RDP掃描就可識别出多數的遠端終端。
攻擊者可以從大學内部網絡中橫向滲透,以類似APT的攻擊方式,給受害者通訊名單郵箱發送魚叉式釣魚郵件。再結合其它方式,在大學内部網絡中建立大的網絡據點。
另外,大學網絡能為攻擊者提供一個友善的托管空間,而且.edu域名可以繞過很多安全過濾和黑名單機制,對受害者來說更加可信。
在幾周的時間内,這個攻擊者成功地獲得了超過1000多個憑據資訊。
讓我們來看看Suzy Leprino的相關資訊:
圖19 ”Suzy”的另一個域名aninetwolks.com Whois資訊
圖20 “Suzy”的注冊域名清單
你可以看到,在“Suzy”名下有有幾個注冊域名,這些域名都看起來可疑,包括 data-rice.com。
在調查中,我們發現 “Suzy”以兩個或更多域名注冊來進行網絡釣魚傳播:
圖21 aninetwolks.com 域名網站目錄清單
圖22 aninetwolks.com 域名網站的ole.txt檔案
圖23 Virustotal url對aninetwolks.com的掃描結果
圖24 Virustotal url對jamefgoldstein.com的掃描結果
我們不知道”Suzy”是一個假身份,還是早期釣魚攻擊中被竊取的身份。但是可以看到,當其注冊域名進入黑名單後,攻擊行動便立即更換了新的域名。
4、好吧,在滿天飛的垃圾郵件世界中,為什麼一個網絡釣魚攻擊者會對你的電子郵件感興趣?
這裡的可能有很多,這取決于攻擊者:
(1)首先,攻擊者可以向網絡犯罪分子批量出售這些憑據資訊,下一起網絡釣魚攻擊讓他們的辛勤工作有利可圖;
(2)攻擊者還可以擷取通訊錄賬戶資訊并出售,網絡犯罪分子就可以向這些郵箱賬戶發送附帶着木馬、勒索軟體、廣告等各種惡意郵件;
(3)攻擊者也可以利用這些被攻擊帳戶的信任關系,向通訊錄郵箱發送釣魚郵件,這是社工角度的攻擊,因為同僚、家人、朋友的郵件信任度較高;
(4)另一個攻擊向量是攻擊者通過擷取郵箱中的敏感隐私資訊/圖檔,以此勒索贖金;
(5)攻擊者也可能通過郵箱尋找其它登入憑據,如銀行金融密碼資訊、個人網站部落格密碼資訊等;
(6)還有一個攻擊向量可能是利用相同的郵件賬戶,嘗試登入其它網站,因為很多人會使用同樣的憑據資訊去登入不同的網站,而郵件賬戶可能就是登入名。這種組合方式利用,适用于很多線上購物網站,如Paypal等。
* 文章來源:Spiderlabs ,clouds編譯,轉載請注明來自FreeBuf(FreeBuf.COM)