1、了解你的敵人網(wǎng)絡(luò)釣魚原文由英國/德國蜜網(wǎng)項(xiàng)目組發(fā)表狩獵女神項(xiàng)目組諸葛建偉第1頁，共21頁。內(nèi)容背景工具和策略真實(shí)世界的網(wǎng)絡(luò)釣魚技術(shù)通過攻陷的網(wǎng)站服務(wù)器釣魚 通過端口重定向釣魚 通過僵尸網(wǎng)絡(luò)進(jìn)行釣魚 普遍的攻擊旋律進(jìn)一步的發(fā)現(xiàn)：資金轉(zhuǎn)賬 進(jìn)一步的研究第2頁，共21頁。什么是網(wǎng)絡(luò)釣魚攻擊？目標(biāo)：獲取個(gè)人敏感信息用戶名、口令、帳號ID、ATM PIN碼或信用卡信息手段：釣魚攻陷主機(jī)架設(shè)釣魚網(wǎng)站目標(biāo)：知名金融機(jī)構(gòu)及商務(wù)網(wǎng)站發(fā)送大量欺騙性垃圾郵件濫用個(gè)人敏感信息資金轉(zhuǎn)賬經(jīng)濟(jì)利益冒用身份犯罪目的第3頁，共21頁。網(wǎng)絡(luò)釣魚攻擊的起源欺騙方式獲取口令社交工程特洛伊木馬鍵擊記錄器1990s過程自動(dòng)化、目標(biāo)轉(zhuǎn)向互

2、聯(lián)網(wǎng)用戶SpywarePhishing對釣魚攻擊最早的研究工作1998年Gordon和Chess 針對AOL的惡意軟件第4頁，共21頁。釣魚攻擊策略架設(shè)釣魚網(wǎng)站大規(guī)模掃描有漏洞的主機(jī)批掃描工具攻陷有漏洞的主機(jī)個(gè)人PC主機(jī)架設(shè)釣魚網(wǎng)站前臺(tái)假冒網(wǎng)站：知名的金融機(jī)構(gòu)、在線電子商務(wù)網(wǎng)站后臺(tái)腳本：收集、驗(yàn)證用戶輸入，并通過某種渠道轉(zhuǎn)發(fā)給釣魚者第5頁，共21頁。釣魚攻擊策略欺騙技術(shù)欺騙用戶訪問釣魚網(wǎng)站DNS中毒攻擊Pharming 網(wǎng)絡(luò)流量重定向(自動(dòng)化)社交工程欺騙性垃圾郵件欺騙性垃圾郵件發(fā)送途徑難以追蹤境外的開放郵件服務(wù)器，僵尸網(wǎng)絡(luò)發(fā)送源冒充知名權(quán)威機(jī)構(gòu)發(fā)送內(nèi)容安全理由、緊急事件，欺騙用戶訪問釣魚網(wǎng)站

3、，給出敏感個(gè)人信息第6頁，共21頁。釣魚攻擊策略欺騙的技巧使用IP地址代替域名注冊發(fā)音相近或形似的DNS域名 多數(shù)真實(shí)的鏈接中混雜關(guān)鍵的指向假冒釣魚網(wǎng)站的鏈接對鏈接URL進(jìn)行編碼和混淆 IDN spoofing攻擊瀏覽器，隱藏消息內(nèi)容的本質(zhì)假冒釣魚網(wǎng)站的透明性代理服務(wù)器模式惡意軟件安裝瀏覽器助手工具修改本地DNS域名和IP地址映射的hosts文件 第7頁，共21頁。真實(shí)世界中的網(wǎng)絡(luò)釣魚攻擊技術(shù)通過攻陷的網(wǎng)站服務(wù)器釣魚通過端口重定向釣魚通過僵尸網(wǎng)絡(luò)進(jìn)行釣魚第8頁，共21頁。通過攻陷的網(wǎng)站服務(wù)器釣魚攻擊者掃描網(wǎng)段，尋找有漏洞的服務(wù)器服務(wù)器被攻陷，并安裝一個(gè)rootkit或口令保護(hù)的后門工具釣魚者從

4、加密的后門工具獲得對服務(wù)器的訪問權(quán)下載已構(gòu)建完畢的釣魚網(wǎng)站內(nèi)容內(nèi)容配置和網(wǎng)站測試工作第一次訪問釣魚網(wǎng)站的IP地址可能是釣魚者的真實(shí)IP地址群發(fā)電子郵件工具被下載，并用以大規(guī)模散發(fā)包含假冒釣魚網(wǎng)站信息的欺騙性垃圾郵件潛在的受害者開始訪問惡意的網(wǎng)頁內(nèi)容第9頁，共21頁。德國/英國蜜網(wǎng)研究組捕獲案例數(shù)據(jù)德國案例 英國案例 被攻陷的蜜罐 Redhat Linux 7.1 x86. Redhat Linux 7.3 x86. 部署位置德國企業(yè)網(wǎng)絡(luò) 英國ISP數(shù)據(jù)中心 攻擊方法Superwu autorooter.Mole mass scanner.被利用的漏洞 Wu-Ftpd File globbing

5、 heap corruption vulnerability NETBIOS SMB trans2open buffer overflow獲得的訪問權(quán)限Root. Root. 安裝的RootkitSimple rootkits that backdoors several binaries. SHV4 rootkit可能的攻擊者未知來自羅馬尼亞的撥號IP網(wǎng)絡(luò)的多個(gè)組織網(wǎng)站行為 下載多個(gè)構(gòu)建好的以eBay和多家美國銀行為目標(biāo)的釣魚網(wǎng)站下載一個(gè)預(yù)先構(gòu)建的以一家美國主要銀行為目標(biāo)的釣魚網(wǎng)站 服務(wù)器端后臺(tái)處理 用于驗(yàn)證用戶輸入的PHP腳本 擁有更高級用戶輸入驗(yàn)證和數(shù)據(jù)分類的PHP腳本電子郵件活動(dòng) 企圖

6、發(fā)送垃圾郵件, 但被Honeywall所攔截. 僅測試了郵件發(fā)送，可能是給釣魚者同伙，Improved syntax and presentation. 群發(fā)電子郵件從一個(gè)中量級Email地址輸入列表進(jìn)行垃圾郵件群發(fā)的Basic PHP script 從一個(gè)小量級的Email地址輸入列表進(jìn)行垃圾郵件群發(fā)的Basic PHP script 可能僅僅是一次測試.受害者是否到達(dá)釣魚網(wǎng)站 沒有，垃圾郵件的發(fā)送和對釣魚網(wǎng)站的訪問被阻斷有，在4天內(nèi)有265個(gè)HTTP請求到達(dá)，但不是因?yàn)閺姆?wù)器發(fā)出的垃圾郵件所吸引的第10頁，共21頁。從案例中發(fā)現(xiàn)的一些特征鍵擊記錄：連接后門馬上開始熟練工作較高技術(shù)水平不再

7、是腳本小子的小打小鬧組織性與掃描和攻陷蜜罐攻擊具有強(qiáng)連續(xù)性集中服務(wù)器存放所需的釣魚網(wǎng)站內(nèi)容和其他攻擊工具并行性同一攻陷服務(wù)器上架設(shè)多個(gè)釣魚網(wǎng)站欺騙性垃圾郵件同時(shí)從多個(gè)系統(tǒng)中發(fā)出令人驚訝的發(fā)現(xiàn)：在釣魚網(wǎng)站完成架設(shè)前，即發(fā)現(xiàn)連入的釣魚網(wǎng)站網(wǎng)頁請求第11頁，共21頁。到達(dá)釣魚網(wǎng)站的HTTP請求分布第12頁，共21頁。通過端口重定向釣魚 端口重定向器透明地將連入的TCP連接轉(zhuǎn)發(fā)到一個(gè)遠(yuǎn)程的目標(biāo)主機(jī)redir -lport=80 -laddr= -cport=80 -caddr=221.4.XXX.XXX （中國的IP）透明地將受害者重定向到主釣魚網(wǎng)站36小時(shí)的時(shí)間段內(nèi)，721個(gè)受害IP地址第13頁，共

8、21頁。通過僵尸網(wǎng)絡(luò)進(jìn)行釣魚 僵尸網(wǎng)絡(luò)用于發(fā)送垃圾郵件啟動(dòng)SOCKS代理服務(wù)僵尸工具中支持垃圾郵件發(fā)送的功能harvest.emails 使得僵尸工具獲得一個(gè)Email地址列表 harvest.emailshttp 使得僵尸工具通過HTTP獲得一個(gè)Email地址列表spam.setlist 下載一個(gè)Email地址列表spam.settemplate 下載一個(gè)Email模板 spam.start 開始發(fā)送垃圾郵件 spam.stop 停止發(fā)送垃圾郵件第14頁，共21頁。僵尸網(wǎng)絡(luò)發(fā)送垃圾郵件的示例發(fā)送垃圾郵件 .mm /email/fetch.php?4a005aec5d7dbe3b01c75aa

9、b2b1c9991 /pay.html Joe did_u_send_me_this通過僵尸工具在客戶端打開特定頁面TOPIC #spam9 :.open /l33tag3/beta.html -s 傳播Spyware/prompt.php?h=6d799fbeef3a9b386587f5f7b37f. 第15頁，共21頁。普遍的攻擊旋律批量掃描攻擊掃描大量IP地址空間以尋找存在漏洞的主機(jī)實(shí)際案例SuperwuMole鍵擊記錄批量掃描2004-07-18 15:23:31 bash 0tar zxvf mole.tgz2004-07-18 15:23:33 bash 0cd mole2004-

10、07-18 15:23:38 bash 0./mazz 63.2嘗試攻擊2004-07-19 11:56:50 bash 0./root -b 0 -v 查看已經(jīng)成功攻陷的主機(jī)2004-07-23 08:13:25 bash 0cat hacked.servers第16頁，共21頁。批量掃描攻擊觀察到的一些特征嘗試攻擊的主機(jī)IP并不在從蜜罐掃描的IP地址范圍內(nèi)批量掃描攻擊行為的高協(xié)同性和并行性Mole.tgz中發(fā)現(xiàn)的掃描結(jié)果文件42個(gè)針對其他主機(jī)的攻擊案例針對多個(gè)B類地址空間的掃描結(jié)果發(fā)現(xiàn)的批量掃描工具并沒有大規(guī)模傳播一定水平的開發(fā)能力和工具開發(fā)能力良好的組織性 第17頁，共21頁。普遍的攻擊旋律組合式攻擊 第18頁，共21頁。進(jìn)一步的發(fā)現(xiàn)：資金轉(zhuǎn)賬跨國資金轉(zhuǎn)賬的難度通過中介進(jìn)行轉(zhuǎn)賬群發(fā)垃圾郵件尋找中介受害者賬號(轉(zhuǎn)賬)中介人賬號中介人(地面信件)釣魚者垃圾郵件示例第19頁，共21頁。進(jìn)一步的研究工作如何用蜜罐技術(shù)幫助發(fā)現(xiàn)垃圾郵件和釣魚攻擊部署具有吸引力的蜜罐（SMTP Open Relay）客戶端蜜罐技術(shù)對付和阻止網(wǎng)絡(luò)釣魚攻擊的潛在方法對網(wǎng)絡(luò)釣魚者通訊及資源流通進(jìn)行監(jiān)控攻擊案例的自動(dòng)化分析第20頁，共