了解你的敌人:网络钓鱼(3)
- 如果一台远程的 redir 主机被检测到了,那么受害者将把这个系统离线并重新安装,但这并不会对钓鱼者构成很大的损失,因为主钓鱼网站仍然在线,而且其他的 redir 主机仍然可以将 HTTP 流量转发到中央网站服务器。
- 如果中央的钓鱼网站服务器被检测到,这个系统将被离线,但钓鱼者可以在一台新攻陷的主机上重新架设钓鱼网站,并重新矫正原先的 redir 主机重定向流量到代替的中央网站服务器。使用这种技术,整个网络可以很快地重新恢复可用,网络钓鱼攻击可以快速地重新开始。
- 一台 redir 主机可以非常灵活,因为它可以通过非常简单地重新配置指向另外一个钓鱼网站。这也减少了从初始的系统攻陷到钓鱼网站可用的这段时间,从而增加了网络钓鱼攻击可以进行的时间长度。
使用这样的组合攻击技术又一次验证了攻击者的高组织性和能力,而不仅仅是简单的脚本小子。类似的运行模型也经常被主流的网站服务提供商和超大容量数据内容提供商(如 Google )所运用。
进一步的发现:资金转账
我们的研究同时也关注钓鱼者如何使用捕获的银行账号信息(如一个与相关的交易代号联系在一起的银行账号)。因为大多数银行都对跨国的资金流通进行监控,钓鱼者并不能简单地不引起金融权威机构注意下,从一个国家转移一大笔资金到另外一个国家。钓鱼者于是使用一些中介来为他们转移资金-以两阶段的步骤,钓鱼者先从受害者银行账号中把钱转移到一个同国中介人的银行账号中,中介人然后从他们的银行账号中提出现金(留下一定百分比作为他们的提供此转账服务的报酬)并寄给钓鱼者,如通过普通的地面信件。当然,这些中介人可能被捕,但是由于钓鱼者的钱已经在传输途中,他们并不会面对太大的安全风险,同时也可以很容易地转移他们的资金流通渠道到另外的中介人。一个可以说明在网络钓鱼攻击背后的金融结构的电子邮件实例如下:
Hello!
We finding Europe persons, who can Send/Receive bank wires
from our sellings, from our European clients. To not pay
TAXES from international transfers in Russia . We offer 10%
percent from amount u receive and pay all fees, for sending
funds back.Amount from 1000 euro per day. All this activity
are legal in Europe .
Fill this form: http://XXX.info/index.php (before filling
install yahoo! messenger please or msn), you will recieve
full details very quickly.
_________________________________________________________
Wir, europ?ische Personen findend, die Bankleitungen
davon Senden/erhalten k?nnen unsere Verk?ufe, von
unseren Kunden von Deutschland. STEUERN von internationalen
übertragungen in Russland nicht zu bezahlen. Wir
erh?lt das Prozent des Angebots 10 % vom Betrag und
bezahlt alle Schulgelder, um Kapital zurück zu senden.
Betrag von 1000 Euro pro Tag. Diese ganze T?tigkeit
ist in Europa gesetzlich.
Füllen Sie diese Form: http://XXX.info/index.php (bevor
die Füllung Yahoo installiert! Bote bitte oder msn), Sie
recieve volle Details sehr.
Thank you, FINANCIE LTD.
这是一封从英文到德文的非常烂的翻译稿,可能是通过翻译软件自动产生的,这也说明攻击者并不是以英语为母语的。因为钱将会被转移到俄罗斯,所以攻击者很可能来自这个国家。资金转移行为也正随着网络钓鱼攻击越来越具组织性变得越来越普遍。
Honeysnap – 一个攻击案例分析助手
一个从我们开始分析被上述网络钓鱼攻击攻陷的蜜罐数据时立即得到的一个结论是:由于不同黑客组织同时进行的多个攻击,我们需要非常多的时间从网络的流量中去抽取和准备用于进一步详细分析的数据。这个数据抽取过程是重复性的且枯燥乏味的,如果由人工进行将会使得我们宝贵的分析时间的效率大打折扣。因此需要一个自动化的解决方案。
由英国蜜罐项目组 David Watson 编写的 honeysnap 脚本正是基于此目的,被设计用来对蜜网日常捕获的数据为输入产生出一个简单的摘要输出,用于指导进一步的人工分析。 honeysnap 脚本对每个蜜罐的数据进行分类,提供了连出的 HTTP 和 FTP GETs 请求、 IRC 消息和 Sebek 键击记录日志列表功能,对关键网络连接能够进行自动化的 TCP 流重组,并抽取、标识和存储由 FTP 或 HTTP 下载的文件, honeysnap 脚本使得大多数消耗大量时间的攻击案例准备性工作都被移除,使得分析员能够集中精力人工地分析案例中的关键部分。 honeysnap 脚本还支持一个自动化的方法对包含感兴趣的关键字(如银行、账号、口令等)的 IRC 通讯进行显示,并提供日常性的 Email 报告功能。
目前的 honeysnap 脚本的一个基本的概念证明性的 UNIX shell 脚本,其 alpha 版可以在此找到,同时一组 honeysnap 输出 示例可以在此找到。一个模块化的并完全扩展的以 Python 编写的版本目前正在由蜜网项目组的成员开发中,并将与 2005 年 6 月发布 beta 测试版。
进一步的研究
在本文给出的信息给出了在网络钓鱼攻击领域进行进一步研究的一些潜在方法,我们同时建议在以下的一些方面进行更深入的调查和研究:
我们希望能够调查蜜罐技术能否被用于帮助与垃圾邮件发送者和钓鱼者进行对抗。一个可能的研究项目是部署一些在上述观察到的网络钓鱼攻击中所通常使用类型的蜜罐,或是一些对垃圾邮件发送者具有很强的吸引力的蜜罐( 如 SMTP open relays ),对攻击者对这些系统的攻击行为进行进一步的分析,能够帮助我们更深入地对网络钓鱼攻击进行剖析,特别是使用僵尸网络进行网络钓鱼这一领域,并能够对网络钓鱼攻击的创新进行跟踪。另外一个研究的可能性是进一步发展蜜罐的概念,研究客户端蜜罐技术,这种新一代的蜜罐工具能更活跃地参与到通讯网络中,例如,自动地随着垃圾邮件中的链接去访问目标网站内容。客户端蜜罐工具可以在 IRC 频道中发呆或通过 P2P 网络共享 / 下载文件,从而进一步地提高我们对这些通讯网络中所面临地安全威胁的了解。
另外,我们期望能够对对付和阻止这些网络钓鱼攻击的潜在方法进行深入研究。因为从一个网络钓鱼攻击的开始到结束的时间周期可能只有几个小时或几天,同时攻击源也可能广泛地分布,所以这将是一个困难的任务。目前在此领域研究的工作(如 The AntiPhishing Group 和 PhishReport )关注于依靠终端用户收集钓鱼邮件。虽然这是个可行的途径,但它只能在网络钓鱼攻击生命周期的最后阶段进行发现。 我们更需要 一个自动化地对网络钓鱼攻击捕获和响应的机制。
我们怀疑这些账号和口令在黑客界会被进行交易流通,可能通过 IRC 。蜜网技术可以被用来捕获这些通讯,并更深入地了解网络钓鱼攻击行为。另外,网络钓鱼攻击工具经常可以从一些经常更新地中央网站服务器或 FTP 服务器上下载获得。尽管充满争议,但对这些活动可以进行监控或联系系统拥有者以帮助他阻止这些网络钓鱼攻击,同时我们应该建立一个体系框架,从而对这些活动进行研究,并提出潜在的对策。
需要在提高案例分析的自动化进行进一步的研究工作,特别是对在这些攻击过程中捕获数据的自动轮廓生成。自动的流量和 IP 地址抽取, DNS 反向查询和 IP 地址块拥有者查询,针对每个 IP 地址或每个域名的流量摘要,以及被动的操作系统指纹辨识等功能在分析大规模的数据集时是非常有用的,在分析一个本地的包括已知主机、攻击者、攻击特征、消息内容等的取证数据库也是同样关键。在一个长期的规划中,需要建立共享这些信息的统一标准,以及一个全球的取证分析数据库从而支持对分布式的黑客活动进行分析,这也将是对整个互联网社区所高度需要和有显著意义的。
结论
在本文中我们展示了一些真实世界发生的网络钓鱼攻击的实际案例,以及在这些案例中攻击者进行的典型的行为。所有这些提供的信息都是使用高交互性的研究型蜜罐所捕获的,这又一次证明了蜜网技术在信息保障和取证分析领域里是一个强有力的工具。我们分析了攻击由德国和英国蜜网研究项目组部署的蜜罐的几次攻击。在两个案例中,钓鱼者攻击并攻陷了蜜罐系统,在攻陷主机后他们的动作开始有所差异。如下的网络钓鱼攻击各阶段的攻击技术被发现:
- 以著名的一些组织结构为目标,架设其钓鱼网站
- 发送欺骗性垃圾邮件,引诱受害者访问钓鱼网站
- 安装重定向服务,将网站流量都转发到已架设的钓鱼网站
- 通过僵尸网络传播垃圾邮件和钓鱼邮件
这些数据帮助我们了解钓鱼者的典型攻击行为和他们用来引诱和欺骗受害者的一些方法。我们已经学习到网络钓鱼攻击可以非常快地发生,在最初的系统入侵到一个钓鱼网站在线,并发出宣扬此网站的钓鱼垃圾邮件只有相当有限的时间,而这么快的攻击速度使得这些攻击者很难被追踪和阻止。
我们的研究同时显示网络钓鱼攻击正在变得越来越普遍而且具有良好的组织性。我们已经观察到针对主要的几个在线组织机构的预先构建的钓鱼网站的归档,这使得钓鱼者可以在很短的时间内准备好进行钓鱼攻击,这也说明了背后隐藏着一个组织良好的钓鱼攻击团体。这些钓鱼内容可以通过利用端口重定向器或僵尸网络快速地进一步扩散。与批量扫描的证据和钓鱼网站内容中手动形式加入的 IP 地址,我们可以相信在一个时刻会有多个特定钓鱼网站的实例同时存在,在上传的钓鱼网站构建完成之前,到达这个刚被攻陷的服务器的网页浏览流量就已经被发现,而且在某个被攻陷主机上发出的钓鱼垃圾邮件也有可能并不是在引诱受害者访问发送邮件的这台主机,这些现象都说明有良好组织性的钓鱼团队在进行分布式和并行的钓鱼攻击。
我们的研究工作显示了垃圾邮件、僵尸网络和网络钓鱼攻击之间一个清晰的连接关系,以及利用中介来完成最后的隐蔽性资金转账。这些观察到的现象,结合大规模的批量漏洞扫描和两层拓扑结构的钓鱼网络,都证明了钓鱼者所带来的真实威胁,钓鱼活动的组织严密性,以及他们所使用的相当高级的攻击技术。随着钓鱼攻击的技术门槛进一步增高及潜在的回报进一步增加,在未来几年中,网络钓鱼攻击的技术很可能进一步地发展,并且网络钓鱼攻击的数量也将进一步增长。减少可被僵尸网络控制的有漏洞的 PC 机,抑制数量不断增多的垃圾邮件,防止有组织性的犯罪活动,并且教育互联网用户关注来自社交工程的潜在安全风险,所有这些都还充满了挑战。
- 最新评论