了解你的敌人网络钓鱼课件

1、了解你的敌人网络钓鱼原文由英国/德国蜜网项目组发表狩猎女神项目组诸葛建伟第1页，共21页。内容背景工具和策略真实世界的网络钓鱼技术通过攻陷的网站服务器钓鱼 通过端口重定向钓鱼 通过僵尸网络进行钓鱼 普遍的攻击旋律进一步的发现：资金转账 进一步的研究第2页，共21页。什么是网络钓鱼攻击？目标：获取个人敏感信息用户名、口令、帐号ID、ATM PIN码或信用卡信息手段：钓鱼攻陷主机架设钓鱼网站目标：知名金融机构及商务网站发送大量欺骗性垃圾邮件滥用个人敏感信息资金转账经济利益冒用身份犯罪目的第3页，共21页。网络钓鱼攻击的起源欺骗方式获取口令社交工程特洛伊木马键击记录器1990s过程自动化、目标转向互

2、联网用户SpywarePhishing对钓鱼攻击最早的研究工作1998年Gordon和Chess 针对AOL的恶意软件第4页，共21页。钓鱼攻击策略架设钓鱼网站大规模扫描有漏洞的主机批扫描工具攻陷有漏洞的主机个人PC主机架设钓鱼网站前台假冒网站：知名的金融机构、在线电子商务网站后台脚本：收集、验证用户输入，并通过某种渠道转发给钓鱼者第5页，共21页。钓鱼攻击策略欺骗技术欺骗用户访问钓鱼网站DNS中毒攻击Pharming 网络流量重定向(自动化)社交工程欺骗性垃圾邮件欺骗性垃圾邮件发送途径难以追踪境外的开放邮件服务器，僵尸网络发送源冒充知名权威机构发送内容安全理由、紧急事件，欺骗用户访问钓鱼网站

3、，给出敏感个人信息第6页，共21页。钓鱼攻击策略欺骗的技巧使用IP地址代替域名注册发音相近或形似的DNS域名 多数真实的链接中混杂关键的指向假冒钓鱼网站的链接对链接URL进行编码和混淆 IDN spoofing攻击浏览器，隐藏消息内容的本质假冒钓鱼网站的透明性代理服务器模式恶意软件安装浏览器助手工具修改本地DNS域名和IP地址映射的hosts文件 第7页，共21页。真实世界中的网络钓鱼攻击技术通过攻陷的网站服务器钓鱼通过端口重定向钓鱼通过僵尸网络进行钓鱼第8页，共21页。通过攻陷的网站服务器钓鱼攻击者扫描网段，寻找有漏洞的服务器服务器被攻陷，并安装一个rootkit或口令保护的后门工具钓鱼者从

4、加密的后门工具获得对服务器的访问权下载已构建完毕的钓鱼网站内容内容配置和网站测试工作第一次访问钓鱼网站的IP地址可能是钓鱼者的真实IP地址群发电子邮件工具被下载，并用以大规模散发包含假冒钓鱼网站信息的欺骗性垃圾邮件潜在的受害者开始访问恶意的网页内容第9页，共21页。德国/英国蜜网研究组捕获案例数据德国案例 英国案例 被攻陷的蜜罐 Redhat Linux 7.1 x86. Redhat Linux 7.3 x86. 部署位置德国企业网络 英国ISP数据中心 攻击方法Superwu autorooter.Mole mass scanner.被利用的漏洞 Wu-Ftpd File globbing

5、 heap corruption vulnerability NETBIOS SMB trans2open buffer overflow获得的访问权限Root. Root. 安装的RootkitSimple rootkits that backdoors several binaries. SHV4 rootkit可能的攻击者未知来自罗马尼亚的拨号IP网络的多个组织网站行为 下载多个构建好的以eBay和多家美国银行为目标的钓鱼网站下载一个预先构建的以一家美国主要银行为目标的钓鱼网站 服务器端后台处理 用于验证用户输入的PHP脚本 拥有更高级用户输入验证和数据分类的PHP脚本电子邮件活动 企图

6、发送垃圾邮件, 但被Honeywall所拦截. 仅测试了邮件发送，可能是给钓鱼者同伙，Improved syntax and presentation. 群发电子邮件从一个中量级Email地址输入列表进行垃圾邮件群发的Basic PHP script 从一个小量级的Email地址输入列表进行垃圾邮件群发的Basic PHP script 可能仅仅是一次测试.受害者是否到达钓鱼网站 没有，垃圾邮件的发送和对钓鱼网站的访问被阻断有，在4天内有265个HTTP请求到达，但不是因为从服务器发出的垃圾邮件所吸引的第10页，共21页。从案例中发现的一些特征键击记录：连接后门马上开始熟练工作较高技术水平不再

7、是脚本小子的小打小闹组织性与扫描和攻陷蜜罐攻击具有强连续性集中服务器存放所需的钓鱼网站内容和其他攻击工具并行性同一攻陷服务器上架设多个钓鱼网站欺骗性垃圾邮件同时从多个系统中发出令人惊讶的发现：在钓鱼网站完成架设前，即发现连入的钓鱼网站网页请求第11页，共21页。到达钓鱼网站的HTTP请求分布第12页，共21页。通过端口重定向钓鱼 端口重定向器透明地将连入的TCP连接转发到一个远程的目标主机redir -lport=80 -laddr= -cport=80 -caddr=221.4.XXX.XXX （中国的IP）透明地将受害者重定向到主钓鱼网站36小时的时间段内，721个受害IP地址第13页，共

8、21页。通过僵尸网络进行钓鱼 僵尸网络用于发送垃圾邮件启动SOCKS代理服务僵尸工具中支持垃圾邮件发送的功能harvest.emails 使得僵尸工具获得一个Email地址列表 harvest.emailshttp 使得僵尸工具通过HTTP获得一个Email地址列表spam.setlist 下载一个Email地址列表spam.settemplate 下载一个Email模板 spam.start 开始发送垃圾邮件 spam.stop 停止发送垃圾邮件第14页，共21页。僵尸网络发送垃圾邮件的示例发送垃圾邮件 .mm /email/fetch.php?4a005aec5d7dbe3b01c75aa

9、b2b1c9991 /pay.html Joe did_u_send_me_this通过僵尸工具在客户端打开特定页面TOPIC #spam9 :.open /l33tag3/beta.html -s 传播Spyware/prompt.php?h=6d799fbeef3a9b386587f5f7b37f. 第15页，共21页。普遍的攻击旋律批量扫描攻击扫描大量IP地址空间以寻找存在漏洞的主机实际案例SuperwuMole键击记录批量扫描2004-07-18 15:23:31 bash 0tar zxvf mole.tgz2004-07-18 15:23:33 bash 0cd mole2004-

10、07-18 15:23:38 bash 0./mazz 63.2尝试攻击2004-07-19 11:56:50 bash 0./root -b 0 -v 查看已经成功攻陷的主机2004-07-23 08:13:25 bash 0cat hacked.servers第16页，共21页。批量扫描攻击观察到的一些特征尝试攻击的主机IP并不在从蜜罐扫描的IP地址范围内批量扫描攻击行为的高协同性和并行性Mole.tgz中发现的扫描结果文件42个针对其他主机的攻击案例针对多个B类地址空间的扫描结果发现的批量扫描工具并没有大规模传播一定水平的开发能力和工具开发能力良好的组织性 第17页，共21页。普遍的攻击旋律组合式攻击 第18页，共21页。进一步的发现：资金转账跨国资金转账的难度通过中介进行转账群发垃圾邮件寻找中介受害者账号(转账)中介人账号中介人(地面信件)钓鱼者垃圾邮件示例第19页，共21页。进一步的研究工作如何用蜜罐技术帮助发现垃圾邮件和钓鱼攻击部署具有吸引力的蜜罐（SMTP Open Relay）客户端蜜罐技术对付和阻止网络钓鱼攻击的潜在方法对网络钓鱼者通讯及资源流通进行监控攻击案例的自动化分析第20页，共