教你如何检测钓鱼网页的基础架构,从而对其进行分类识别及分析

xiaohui 技术 2018年6月15日发布

导语:利用自己开发的网络安全检测软件,RiskIQ安全组织已从各种渠道收集到了可能是钓鱼的网址,在利用网页抓取工具对这些网址进行检查后,RiskIQ安全组织还以实际用户的身份进入到这些网址进行了真实检测,最后通过RiskIQ安全组织的机器学习技

360截图16380515414080.jpg

网络钓鱼仍然是当今企业面临的最大和最不确定的威胁之一,这两年RiskIQ安全组织处理了大量与网络攻击有关的网络钓鱼事件。利用自己开发的网络安全检测软件,RiskIQ安全组织已从各种渠道收集到了可能是钓鱼的网址,在利用网页抓取工具对这些网址进行检查后,RiskIQ安全组织还以实际用户的身份进入到这些网址进行了真实检测,最后通过RiskIQ安全组织的机器学习技术分析出最后的结果,以对每个检测到的网络钓鱼进行分类识别。

那些钓鱼网页的基础架构通常采用两种形式:自维护的自定义基础结构和被滥用或攻击的属于其他人的基础结构。以下是被滥用或被攻击的属于其他人的基础结构的电子邮件的钓鱼页面的实例。

1.jpg

另外,RiskIQ安全组织在网上查看一些资料,找到了这个钓鱼工具的其他例子:

· llyyuia.com/sendmail/index2.htm

· brazilconsul.cc/teste/drop/index2.htm

· alpinenatureexperience.com.au/wp-admin/js/prank/solorous/sendmail/index2.htm

· www.corneliacafe.com/css/sendmail/index2.htm

· www.genest.com.mx/sendmail/index2.htm

· infonetcomm.com/css/sendmail/index2.htm

· www.ciembolivia.com/js/sendmail/index2.htm

· www.webkeyit.com/sendmail/index2.htm

· eduquersonenfant.com/wp-admin/css/sendmail/index2.htm

· folhadojalapao.com.br/wp-admin/css/sendmail/index2.htm

· pdqmei.com/wp-admin/css/sendmail/index2.htm

· www.pdqmei.com/wp-admin/css/sendmail/index2.htm

· reisu.com/sendmail/index2.htm

正如你所看到的,这些钓鱼示例的名称中似乎有一个主题,每个URL都包含“sendmail”。另外,每个钓鱼网站的设计中都非常相似。

当RiskIQ安全组织探索这些页面时,首先检查主机是否受到攻击(大多数是这样的),如果是的话,找出攻击发生的位置。当然有一些明显的例子,比如URL中有'/ wp-admin /'路径,这表明它可能是一个WordPress样本。在上述钓鱼攻击中,当从其URL中删除尾随文件名'index2.htm'时,某些主机会显示出钓鱼工具包的结构:

2.jpg

可以有三个文件-index2.htm,sub.php和rop.php,RiskIQ安全组织可以在以上给出的链接中找到对'rop.php'的引用。钓鱼页面的来源显示,它是通过POST请求将被盗的凭证发送到此脚本的。

3.jpg

由RiskIQ网络爬虫工具捕获的被盗凭证

至于sub.php,RiskIQ安全组织目前还对它的功能一无所知。通过挖掘这个钓鱼工具包的更多实例,RiskIQ安全组织发现了另一个目录索引,只是这次钓鱼工具包的实例已经消失,但是,攻击者在恶意软件安装后就离开了。

4.jpg

网络钓鱼钓鱼工具包的安装

RiskIQ安全组织在打开disruptive.zip文件并查看后,发现它包含RiskIQ安全组织在上面目录列表中找到的所有三个文件,以下就是RiskIQ安全组织找到的rop.php的源代码。

5.jpg

RiskIQ安全组织从而可以发现大多数钓鱼工具使用的盗取证书的一般方法——发送一封带有凭证的电子邮件。RiskIQ安全组织找到了犯罪分子的电子邮件地址parkerfred2.0@mail.ru。RiskIQ安全组织还可以看到sub.php的用法,其中用户在发出凭证后被重定向,其中包含以下内容。

Webp.net-resizeimage-7-copy.jpg

该脚本会将受害者重定向到Microsoft Windows网站上的特定页面,通过挖掘这个钓鱼工具包的更多实例,RiskIQ安全组织发现了另一个zip文件的情况。

7.jpg

包含zip文件的Phish kit结构

在这个zip文件中,RiskIQ安全组织还看到了rop.php中的一个电子邮件地址,它与RiskIQ安全组织的数据有一些有趣的联系。RiskIQ安全组织发现的电子邮件地址是langmesserpp@gmail.com,你可以在PassiveTotal的WHOIS搜索中找到链接到单个域的信息。

8.jpg

langmesserpp@gmail.com的WHOIS

该网站本身就有不少IP的信息,但目前都已经失效。有趣的是,这个域名与一个名为'McClean Law Group'的佛罗里达州律师事务所的域名mccleanlawgroup.com非常相似。不过,除了名称相似之外,RiskIQ安全组织没有发现这两个网站的其他相似内容。

本文翻译自:https://www.riskiq.com/blog/interesting-crawls/linking-infrastructure-phishing/如若转载,请注明原文地址: http://www.4hou.com/technology/11988.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论