通常情况下,网站钓鱼攻击的生命周期从钓鱼网站发布到互联网上后只有几个小时或几天的时间,我们的研究也发现网络钓鱼攻击在多台服务器上针对多个组织机构在同时并行进行。我们将使用两个典型的网络钓鱼攻击的实际案例所捕获的数据来进行阐述这些原理,其中一个案例是由德国蜜网项目组观察到,另一个由英国蜜网项目组观察到。在每个案例中,蜜网研究联盟的成员们都部署了有漏洞的 Linux 蜜罐,对这两个蜜罐的攻陷过程显示了相同的攻击模式:蜜罐的被扫描和被攻陷具有非常强的连续性,并包括预先创建的钓鱼网站和群发垃圾邮件工具的上传和使用。与我们观察到的几次其他的案例中类似, Rootkit 和 IRC 服务器也同时在攻击过程中被安装,被攻陷的蜜罐同时被用以除网络钓鱼外的其他目的:如作为一个由罗马尼亚攻击者控制的 IRC 傀儡主机,同时也作为一个网络扫描器用以发现和攻击更多潜在的计算机(尽管蜜网体系框架阻止攻击者从被攻陷的蜜罐成功的攻击其他的服务器)。一些令人关注的差异也是非常显然的,不仅仅是在英国蜜网项目组观察到的案例中,也就是多个不同的组织几乎同时访问了被攻陷的主机,使得取证分析更加复杂。由于篇幅的限制,我们没有在本文中给出这些攻击的具体细节,而仅仅给出了我们所得到的经验以及钓鱼者如何进行网络钓鱼攻击。如果你对这些特定的攻击过程的更多具体细节感兴趣,你可以访问以下页面中的信息。
下面的表格展示了在这两个案例中关键的因素及其差异的概要 分析 :
数据 |
德国案例 |
英国案例 |
被攻陷的蜜罐 |
Redhat Linux 7.1 x86. |
Redhat Linux 7.3 x86. |
部署位置 |
德国企业网络 |
英国 ISP 数据中心 |
攻击方法 |
"Superwu" autorooter. |
"Mole" mass scanner. |
被利用的漏洞 |
Wu-Ftpd File globbing heap corruption vulnerability ( CVE-2001-055 ). |
NETBIOS SMB trans2open buffer overflow ( CAN-2003-0201 ). |
获得的访问权限 |
Root. |
Root. |
安装的 Rootkit |
Simple rootkit that backdoors several binaries. |
SHV4 rootkit. |
可能的攻击者 |
未知 |
来自罗马尼亚康斯坦萨的拨号 IP 网络的多个组织 |
网站行为 |
下载多个构建好的以 eBay 和多家美国银行为目标的钓鱼网站 |
下载一个预先构建的以一家美国主要银行为目标的钓鱼网站 |
服务器端后台处理 |
用于验证用户输入的 PHP script |
拥有更高级用户输入验证和数据分类的 PHP script |
电子邮件活动 |
企图发送垃圾邮件 ( example 1 , example 2 ), 但被 Honeywall 所拦截 . |
仅测试了邮件发送,可能是给钓鱼者同伙, Improved syntax and presentation. |
群发电子邮件方法 |
从一个中量级 Email 地址输入列表进行垃圾邮件群发的 Basic PHP script |
从一个小量级的 Email 地址输入列表进行垃圾邮件群发的 Basic PHP script – 可能仅仅是一次测试 . |
受害者是否到达钓鱼网站 |
没有,垃圾邮件的发送和对钓鱼网站的访问被阻断 |
有,在 4 天内有 265 个 HTTP 请求到达,但不是因为从服务器发出的垃圾邮件所吸引的 ( 没有客户的个人信息被收集 ). |
从对两个案例中钓鱼者的键击记录(使用 Sebek 捕获)的观察发现,攻击者在连接到已存在的后满后,立即开始工作,部署他们的钓鱼网站。这些攻击者的动作显示他们对服务器的环境非常熟悉,这也说明他们是前期攻陷这些蜜罐的组织中的成员,而且钓鱼攻击的整个企图也是非常明显且具有组织性的。从上传的网站内容经常指向其他的网站服务器和 IP 地址看来,很可能这些活动同时在多台服务器上同时在进行中。
从对在这些案例中由攻击者下载的钓鱼网站内容的分析中可以明显的看出,钓鱼者在同时以多个知名的在线组织结构为假冒目标。预先精心构造、有官方标志的假冒钓鱼网站被例行性地部署到被攻陷的主机上-经常通过以不同的网页服务器根目录进行分离的“子站点”来同时架设多个组织结构的钓鱼网站,同时安装将垃圾邮件传播给潜在的受害者的必需工具。在英国蜜网项目组观察到的案例中,从 FTP 会话所列出的目录列表中可以确认这些攻击者已经很深的卷入垃圾邮件和网络钓鱼攻击中,预先构建的网站内容和邮件传播攻击被集中存放在一个集中的服务器上,并且看起来攻击的目标至少针对 eBay 、 AOL 和其他几个知名的美国银行。这些个别的网络钓鱼攻击看起来并不是隔离的单独的攻击事件,因为在这些案例中发布的垃圾邮件通常将受害者指向到几个同时存在的假冒网站服务器,同时这些垃圾邮件也同时是从多个系统中发出。从英国案例中蜜罐被攻击后第一个连入对钓鱼网站内容的 HTTP 请求也预示着并行的网络钓鱼攻击操作在进行。
这个连入蜜罐的 HTTP 连接在攻击者在这台蜜罐主机上架设假冒的在线银行网站之前就已经发生,这确认了攻击者已经预先知道这台服务器可以被用来作为一个钓鱼网站的假设。在攻击者在架设这个钓鱼网站的同时,引诱受害者访问这个新钓鱼网站的垃圾邮件已经从另外一台主机上发出。
我们对连入被攻陷的蜜罐请求假冒在线银行内容的 HTTP 请求连接的源 IP 地址数量和范围感到震惊。下面的图给出了在蜜罐从网络中断开前从各个 IP 地址访问钓鱼网站的 HTTP 请求的数目(包括每个 IP 单独计算和全部的 HTTP 请求)。
screen.width-333)this.width=screen.width-333" border=0>
访问英国蜜网项目组部署蜜罐上的钓鱼网站内容的源 IP 地址的顶层 DNS 域名、国家和主机操作系统的列表见 此页面 。要注意的是,在蜜罐被离线进行取证分析之前,尽管访问钓鱼网站的网页流量到达英国蜜网项目组部署的蜜罐,但并没有针对处理用户数据处理的 PHP 脚本的 HTTP POST 请求,因此在此次网络钓鱼攻击中,没有任何用户的信息被钓鱼者和我们获得。在本文提及的所有案例中,我们或是直接通报了目标机构关于攻击案例和任何相关的他们所需的相关数据,或是向当地的计算机应急响应组通报了所有相关的恶意行为。在所有案例中,没有任何受害者的私人信息被蜜网项目组和蜜网研究联盟的成员所捕获。
从这两个案例中的数据表明钓鱼者是非常活跃并且具有组织性的,在多个被攻陷的主机中快速地移动,并且同时以多个著名的组织结构为目标。同时数据也显示许多电子邮件用户被引诱访问假冒组织机构(如在线银行和商务网站)的钓鱼网站,网络钓鱼攻击已经给广大的互联网用户带来了安全风险。
第二种网络钓鱼技术-通过端口重定向钓鱼
在 2004 年 11 越,德国蜜网项目组部署了包含一个 Redhat Linux 7.3 蜜罐的经典 第二代蜜网 。虽然安装的是相当旧的操作系统版本,攻击者也能够非常容易就能攻破,但它令人惊讶地经过了两个半月后才被首次成功攻陷-这和以上提及案例中讨论的蜜罐快速被攻陷的情况形成显著的反差。更多关于此趋势的信息可以在“了解你的敌人”系列文章中的“ 了解你的敌人:趋势分析 ”中可以找到。
在 2005 年 1 月 11 日 ,一个攻击者成功地攻陷了这台蜜罐,使用了针对 Redhat Linux 7.3 缺省安装存在的 OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow Vulnerability 的攻击脚本。此案例不寻常的是当攻击者获得被攻陷主机的访问权后,他并没有直接上传钓鱼网站内容。取而代之的是,攻击者在蜜罐上安装并配置了一个端口重定向服务。
这个端口重定向服务被设计成将发往该蜜罐网站服务器的 HTTP 请求以透明的方式重新路由到另外一个远程的网站服务器,这种方式潜在地使得对钓鱼网站内容更难追踪。攻击者下载并在蜜罐上安装了一个称为 redir 的工具,此工具是一个能够透明地将连入的 TCP 连接转发到一个远程的目标主机的端口 重定向器。在此次案例中,攻击者配置该工具将所有到蜜罐 TCP 80 端口( HTTP )的流量重定向到一个位于 中国 的远程网站服务器的 TCP 80 端口。有意思的是,攻击者并没有在蜜罐上安装 Rootkit 以隐藏他的存在,这也说明攻击者并没有把被攻陷的主机的价值看的很重,同时并不担心被检测到。
攻击者使用的建立端口重定向的指令如下:
redir --lport=80 --laddr=<IP address of honeypot> --cport=80 --caddr=221.4.XXX.XXX
另外,攻击者修改了 Linux 系统的启动脚本文件 /etc/rc.d/rc.local 从而保证 redir 端口重定向服务在蜜罐系统重新启动后也会被重新启动,提高了他们的端口重定向服务的生存能力。然后他们开始往外发送钓鱼垃圾邮件以引诱受害者访问此蜜罐,一个示例可以在 此 找到。(注意相关的敏感信息已经被混淆了)。
为了进一步调查攻击者的活动,德国蜜网项目组的成员们干涉并偷偷摸摸修改了攻击者在蜜罐上安装的 redire 工具的配置,使其在 redir 程序内进行日志,使得更容易地观察到多少人接收到此垃圾邮件信息,并点击了其中的链接透明地访问重定向后的钓鱼网站内容。在将近 36 小时的时间段内, 721 个 IP 地址被 redir 重定向到钓鱼网站,我们又一次对这么多用户被发布的钓鱼邮件所引诱访问钓鱼网站内容而感到震惊。对访问端口重定向器的 IP 地址的分析可以在 这 找到(注意这些信息已经被清洁过,以保护访问钓鱼网站的用户,同时在我们的研究中仅记录了 IP 地址数据,任何机密性的用户数据没有被捕获)。