作为最近的一项研究,我们首先发现了两个钓鱼攻击域名,而在这两个域名之后是更多的域名,这些域名已经成功地攻击了超过1000多名用户,这项钓鱼攻击主要针对的是AOL、雅虎、LinkedIn等网站的用户。
我们碰到的第一个域名为:f4hkn8ty1jety7sysf4hkn8ty.com,像是“猫步”域名——就是猫随意地再键盘上走动产生的域名。
图1 “猫步“域名的由来
然而这个域名是用来对AOL用户进行网络钓鱼的:
图2 AOL 钓鱼页面
但是,有趣的是,攻击者非常“善良”,虽然显示了钓鱼页面,但却没禁用其钓鱼网站的目录列表,在网站的根目录里竟然保存着受害者的明文凭据信息:
图3 钓鱼网站目录列表
图4 密码信息被储存在钓鱼网站站点目录列表的ole.txt文件中
在virustotal上检查时显示是恶意站点:
图5 Virustotal url 扫描结果
Virustotal上更多的信息显示,这项钓鱼活动最早于2016年4月9日:
图6 Virustotal 里显示的更多域名信息
另一个有趣的地方是,我们注意到该域名通过MELBOURNEIT公司注册给了“Suzy Leprino”,而MELBOURNE IT是一个雅虎域名注册合作商。
还有一点让我们疑惑的是,域名对应的IP在曾经发生过变化,更准确地说,主机提供商从美国雅虎(Aabaco)变成了荷兰的Ecatel。
经过对两个IP历史的长期跟踪,我们发现原因可能是美国的IP已经被标记在许多黑名单中,攻击者想更换一个“干净”的IP。
图7 域名对应的新IP(左) 和 旧IP(右)
经过进一步的调查我们又发现了另一个有着相似特点的域名:nextblum.com ,像上面的“猫步”域名那样,其对应的是一个AOL钓鱼页面、使用相同的混淆技术、在域名网站根目录文件“OLE.txt”中保存明文凭据。这不可能是偶然的,这意味着两起钓鱼攻击可能都使用了相同的工具,甚至可能连攻击者都一样:
图8 “ole.txt”文件信息
从VirusTotal的信息里面表明nextblum.com使用时间更长,所以如果两个域名与同一攻击者有关,那么这项攻击活动可能是在2016年3月10日前后开始的:
图9 nextblum.com域名的相关信息
以下是两个域名的相似度比较:
图10 “猫步”域名代码
图11 nextblum.com域名代码
唯一的不同之处在于域名nextblum.com上架设的钓鱼页面较多,包括:Yahoo、LinkedIn、Old Dominion University,、Lehigh University和一个用来针对.edu邮箱进行钓鱼的通用网页:
图12 nextblum.com域名上的AOL钓鱼页面
图13 nextblum.com域名上的.edu钓鱼页面
图13 的网络钓鱼网页是一个电子邮件重新验证页面,这类型的诈骗网页存在多年,而它们最近却以新颖时尚的黑色视图卷土重来。
这起事件的攻击者还曾经以另外一个域名data-rice.com,于2015年底发起过网络钓鱼攻击,后文将会提及。
图14 data-rice.com域名上的邮箱重新认证钓鱼页面( Phishtank的存档 )
图15 nextblum.com上的LinkedIn钓鱼页面
图16 nextblum.com上的 Old Dominion 大学钓鱼页面
图17 nextblum.com上的Lehigh University大学钓鱼页面
在这些域名背后,攻击者使用了Base64编码加密混淆大部分网页,这种技术是全新的:我们发现这种技术被用于网络钓鱼攻击的最早 参考案例 是2012年10月,现如今攻击者将它与其它技术结合了起来,应用于网络钓鱼攻击。
使用这种技术,可以让攻击者有两个好处:
(1)混淆HTML代码并动态加载内容,所以它可能会绕过那些基于文件的安全防护措施。
图18 base64 encoded 数据
(2)另一个好处是,一旦加载钓鱼页面的URL,浏览器地址栏就变为格式:
“data:text/html;base64,<base64_blob_of_the_encoded_html_file>”
如果用f4hkn8ty1jety7sysf4hkn8ty.com这样的域名来代替 aol.com,可能会引起用户警觉,但如果URL显示都像 “data:text/html;base64″ 这样,可能许多用户由于不了解URL结构而错被它迷惑,这对攻击者来说自然就是个不错的选择了。
在我们的研究中,攻击者选择对.edu邮箱进行网络钓鱼攻击,这可能是.edu邮箱有特别的价值可寻:
许多大学使用SSO单点登录模式(SingleSign-On),这意味着大学里的所有服务都可能使用相同的凭据信息。有了邮箱密码就可以连接到大学的所有计算机网络中,或者是通过简单的RDP扫描就可识别出多数的远程终端。
攻击者可以从大学内部网络中横向渗透,以类似APT的攻击方式,给受害者通讯名单邮箱发送鱼叉式钓鱼邮件。再结合其它方式,在大学内部网络中建立大的网络据点。另外,大学网络能为攻击者提供一个方便的托管空间,而且.edu域名可以绕过很多安全过滤和黑名单机制,对受害者来说更加可信。
在几周的时间内,这个攻击者成功地获得了超过1000多个凭据信息。
让我们来看看Suzy Leprino的相关信息:
图19 ”Suzy”的另一个域名aninetwolks.com Whois信息
图20 “Suzy”的注册域名列表
你可以看到,在“Suzy”名下有有几个注册域名,这些域名都看起来可疑,包括 data-rice.com。
在调查中,我们发现 “Suzy”以两个或更多域名注册来进行网络钓鱼传播:
图21 aninetwolks.com 域名网站目录列表
图22 aninetwolks.com 域名网站的ole.txt文件
图23 Virustotal url对aninetwolks.com的扫描结果
图24 Virustotal url对jamefgoldstein.com的扫描结果
我们不知道”Suzy”是一个假身份,还是早期钓鱼攻击中被窃取的身份。但是可以看到,当其注册域名进入黑名单后,攻击行动便立即更换了新的域名。
这里的可能有很多,这取决于攻击者:
(1)首先,攻击者可以向网络犯罪分子批量出售这些凭据信息,下一起网络钓鱼攻击让他们的辛勤工作有利可图;
(2)攻击者还可以获取通讯录账户信息并出售,网络犯罪分子就可以向这些邮箱账户发送附带着木马、勒索软件、广告等各种恶意邮件;
(3)攻击者也可以利用这些被攻击帐户的信任关系,向通讯录邮箱发送钓鱼邮件,这是社工角度的攻击,因为同事、家人、朋友的邮件信任度较高;
(4)另一个攻击向量是攻击者通过获取邮箱中的敏感隐私信息/图片,以此勒索赎金;
(5)攻击者也可能通过邮箱寻找其它登录凭据,如银行金融密码信息、个人网站博客密码信息等;
(6)还有一个攻击向量可能是利用相同的邮件账户,尝试登录其它网站,因为很多人会使用同样的凭据信息去登录不同的网站,而邮件账户可能就是登录名。这种组合方式利用,适用于很多在线购物网站,如Paypal等。
* 文章来源: Spiderlabs ,clouds编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)