对一次网络钓鱼攻击的逆向分析

作为最近的一项研究，我们首先发现了两个钓鱼攻击域名，而在这两个域名之后是更多的域名，这些域名已经成功地攻击了超过1000多名用户,这项钓鱼攻击主要针对的是AOL、雅虎、LinkedIn等网站的用户。

1、钓鱼网站对应的域名信息

我们碰到的第一个域名为：f4hkn8ty1jety7sysf4hkn8ty.com，像是“猫步”域名——就是猫随意地再键盘上走动产生的域名。

图1 “猫步“域名的由来

然而这个域名是用来对AOL用户进行网络钓鱼的：

图2 AOL 钓鱼页面

但是，有趣的是，攻击者非常“善良”，虽然显示了钓鱼页面，但却没禁用其钓鱼网站的目录列表，在网站的根目录里竟然保存着受害者的明文凭据信息：

图3 钓鱼网站目录列表

图4 密码信息被储存在钓鱼网站站点目录列表的ole.txt文件中

在virustotal上检查时显示是恶意站点：

图5 Virustotal url 扫描结果

Virustotal上更多的信息显示，这项钓鱼活动最早于2016年4月9日：

图6 Virustotal 里显示的更多域名信息

另一个有趣的地方是，我们注意到该域名通过MELBOURNEIT公司注册给了“Suzy Leprino”，而MELBOURNE IT是一个雅虎域名注册合作商。

还有一点让我们疑惑的是，域名对应的IP在曾经发生过变化，更准确地说，主机提供商从美国雅虎(Aabaco)变成了荷兰的Ecatel。

经过对两个IP历史的长期跟踪，我们发现原因可能是美国的IP已经被标记在许多黑名单中，攻击者想更换一个“干净”的IP。

图7 域名对应的新IP(左) 和 旧IP(右)

经过进一步的调查我们又发现了另一个有着相似特点的域名：nextblum.com ，像上面的“猫步”域名那样，其对应的是一个AOL钓鱼页面、使用相同的混淆技术、在域名网站根目录文件“OLE.txt”中保存明文凭据。这不可能是偶然的，这意味着两起钓鱼攻击可能都使用了相同的工具，甚至可能连攻击者都一样：

图8 “ole.txt”文件信息

从VirusTotal的信息里面表明nextblum.com使用时间更长，所以如果两个域名与同一攻击者有关，那么这项攻击活动可能是在2016年3月10日前后开始的：

图9 nextblum.com域名的相关信息

以下是两个域名的相似度比较：

图10 “猫步”域名代码

图11 nextblum.com域名代码

唯一的不同之处在于域名nextblum.com上架设的钓鱼页面较多，包括：Yahoo、LinkedIn、Old Dominion University,、Lehigh University和一个用来针对.edu邮箱进行钓鱼的通用网页：

图12 nextblum.com域名上的AOL钓鱼页面

图13 nextblum.com域名上的.edu钓鱼页面

图13 的网络钓鱼网页是一个电子邮件重新验证页面，这类型的诈骗网页存在多年，而它们最近却以新颖时尚的黑色视图卷土重来。

这起事件的攻击者还曾经以另外一个域名data-rice.com，于2015年底发起过网络钓鱼攻击，后文将会提及。

图14 data-rice.com域名上的邮箱重新认证钓鱼页面(Phishtank的存档)

图15 nextblum.com上的LinkedIn钓鱼页面

图16 nextblum.com上的 Old Dominion 大学钓鱼页面

图17 nextblum.com上的Lehigh University大学钓鱼页面

2、网络钓鱼攻击使用的技术

在这些域名背后，攻击者使用了Base64编码加密混淆大部分网页，这种技术是全新的：我们发现这种技术被用于网络钓鱼攻击的最早参考案例是2012年10月，现如今攻击者将它与其它技术结合了起来，应用于网络钓鱼攻击。

使用这种技术，可以让攻击者有两个好处：

(1)混淆HTML代码并动态加载内容，所以它可能会绕过那些基于文件的安全防护措施。

图18 base64 encoded 数据

(2)另一个好处是，一旦加载钓鱼页面的URL，浏览器地址栏就变为格式：

“data:text/html;base64,”

如果用f4hkn8ty1jety7sysf4hkn8ty.com这样的域名来代替 aol.com，可能会引起用户警觉，但如果URL显示都像“data:text/html;base64″这样，可能许多用户由于不了解URL结构而错被它迷惑，这对攻击者来说自然就是个不错的选择了。

3、钓鱼网站域名的注册人信息

在我们的研究中，攻击者选择对.edu邮箱进行网络钓鱼攻击,这可能是.edu邮箱有特别的价值可寻：

许多大学使用SSO单点登录模式(SingleSign-On)，这意味着大学里的所有服务都可能使用相同的凭据信息。有了邮箱密码就可以连接到大学的所有计算机网络中，或者是通过简单的RDP扫描就可识别出多数的远程终端。

攻击者可以从大学内部网络中横向渗透，以类似APT的攻击方式，给受害者通讯名单邮箱发送鱼叉式钓鱼邮件。再结合其它方式，在大学内部网络中建立大的网络据点。另外，大学网络能为攻击者提供一个方便的托管空间，而且.edu域名可以绕过很多安全过滤和黑名单机制，对受害者来说更加可信。

在几周的时间内，这个攻击者成功地获得了超过1000多个凭据信息。

让我们来看看Suzy Leprino的相关信息：

图19 ”Suzy”的另一个域名aninetwolks.com Whois信息

图20 “Suzy”的注册域名列表

你可以看到，在“Suzy”名下有有几个注册域名，这些域名都看起来可疑，包括 data-rice.com。

在调查中，我们发现 “Suzy”以两个或更多域名注册来进行网络钓鱼传播:

图21 aninetwolks.com 域名网站目录列表

图22 aninetwolks.com 域名网站的ole.txt文件

图23 Virustotal url对aninetwolks.com的扫描结果

图24 Virustotal url对jamefgoldstein.com的扫描结果

我们不知道”Suzy”是一个假身份，还是早期钓鱼攻击中被窃取的身份。但是可以看到，当其注册域名进入黑名单后，攻击行动便立即更换了新的域名。

4、好吧，在满天飞的垃圾邮件世界中，为什么一个网络钓鱼攻击者会对你的电子邮件感兴趣?

这里的可能有很多，这取决于攻击者：

(1)首先，攻击者可以向网络犯罪分子批量出售这些凭据信息，下一起网络钓鱼攻击让他们的辛勤工作有利可图;

(2)攻击者还可以获取通讯录账户信息并出售，网络犯罪分子就可以向这些邮箱账户发送附带着木马、勒索软件、广告等各种恶意邮件;

(3)攻击者也可以利用这些被攻击帐户的信任关系，向通讯录邮箱发送钓鱼邮件，这是社工角度的攻击，因为同事、家人、朋友的邮件信任度较高;

(4)另一个攻击向量是攻击者通过获取邮箱中的敏感隐私信息/图片，以此勒索赎金;

(5)攻击者也可能通过邮箱寻找其它登录凭据，如银行金融密码信息、个人网站博客密码信息等;

(6)还有一个攻击向量可能是利用相同的邮件账户，尝试登录其它网站，因为很多人会使用同样的凭据信息去登录不同的网站，而邮件账户可能就是登录名。这种组合方式利用，适用于很多在线购物网站，如Paypal等。