完全完全解析 网络钓鱼攻击幕后的秘密

　　德国蜜罐攻陷案例的具体细节

　　英国蜜罐攻陷案例的具体细节(时间表)

　　英国蜜罐攻陷案例的具体细节(内容分析)

　　下面的表格展示了在这两个案例中关键的因素及其差异的概要 分析 :

　　数据

　　德国案例

　　英国案例

　　被攻陷的蜜罐

　　Redhat Linux 7.1 x86.

　　Redhat Linux 7.3 x86.

　　部署位置

　　德国企业网络

　　英国 ISP 数据中心

　　攻击方法

　　"Superwu" autorooter.

　　"Mole" mass scanner.

　　被利用的漏洞

　　Wu-Ftpd File globbing heap corruption vulnerability ( CVE-2001-0550 ).

　　NETBIOS SMB trans2open buffer overflow ( CAN-2003-0201 ).

　　获得的访问权限

　　Root.

　　Root.

　　安装的 Rootkit

　　Simple rootkit that backdoors several binaries.

　　SHV4 rootkit.

　　可能的攻击者

　　未知

　　来自罗马尼亚康斯坦萨的拨号 IP 网络的多个组织

　　网站行为

　　下载多个构建好的以 eBay 和多家美国银行为目标的钓鱼网站

　　下载一个预先构建的以一家美国主要银行为目标的钓鱼网站

　　服务器端后台处理

　　用于验证用户输入的 PHP script

　　拥有更高级用户输入验证和数据分类的 PHP script

　　电子邮件活动

　　企图发送垃圾邮件 ( example 1 , example 2 ), 但被 Honeywall 所拦截 .

　　仅测试了邮件发送，可能是给钓鱼者同伙， Improved syntax and presentation.

　　群发电子邮件方法

　　从一个中量级 Email 地址输入列表进行垃圾邮件群发的 Basic PHP script

　　从一个小量级的 Email 地址输入列表进行垃圾邮件群发的 Basic PHP script – 可能仅仅是一次测试 .

　　受害者是否到达钓鱼网站

　　没有，垃圾邮件的发送和对钓鱼网站的访问被阻断

　　有，在 4 天内有 265 个 HTTP 请求到达，但不是因为从服务器发出的垃圾邮件所吸引的 ( 没有客户的个人信息被收集 ).

　　从对两个案例中钓鱼者的键击记录(使用 Sebek 捕获)的观察发现，攻击者在连接到已存在的后满后，立即开始工作，部署他们的钓鱼网站。这些攻击者的动作显示他们对服务器的环境非常熟悉，这也说明他们是前期攻陷这些蜜罐的组织中的成员，而且钓鱼攻击的整个企图也是非常明显且具有组织性的。从上传的网站内容经常指向其他的网站服务器和 IP 地址看来，很可能这些活动同时在多台服务器上同时在进行中。

　　从对在这些案例中由攻击者下载的钓鱼网站内容的分析中可以明显的看出，钓鱼者在同时以多个知名的在线组织结构为假冒目标。预先精心构造、有官方标志的假冒钓鱼网站被例行性地部署到被攻陷的主机上-经常通过以不同的网页服务器根目录进行分离的“子站点”来同时架设多个组织结构的钓鱼网站，同时安装将垃圾邮件传播给潜在的受害者的必需工具。在英国蜜网项目组观察到的案例中，从 FTP 会话所列出的目录列表中可以确认这些攻击者已经很深的卷入垃圾邮件和网络钓鱼攻击中，预先构建的网站内容和邮件传播攻击被集中存放在一个集中的服务器上，并且看起来攻击的目标至少针对 eBay 、 AOL 和其他几个知名的美国银行。这些个别的网络钓鱼攻击看起来并不是隔离的单独的攻击事件，因为在这些案例中发布的垃圾邮件通常将受害者指向到几个同时存在的假冒网站服务器，同时这些垃圾邮件也同时是从多个系统中发出。从英国案例中蜜罐被攻击后第一个连入对钓鱼网站内容的 HTTP 请求也预示着并行的网络钓鱼攻击操作在进行。

　　这个连入蜜罐的 HTTP 连接在攻击者在这台蜜罐主机上架设假冒的在线银行网站之前就已经发生，这确认了攻击者已经预先知道这台服务器可以被用来作为一个钓鱼网站的假设。在攻击者在架设这个钓鱼网站的同时，引诱受害者访问这个新钓鱼网站的垃圾邮件已经从另外一台主机上发出。

　　我们对连入被攻陷的蜜罐请求假冒在线银行内容的 HTTP 请求连接的源 IP 地址数量和范围感到震惊。下面的图给出了在蜜罐从网络中断开前从各个 IP 地址访问钓鱼网站的 HTTP 请求的数目(包括每个 IP 单独计算和全部的 HTTP 请求)。

　　访问英国蜜网项目组部署蜜罐上的钓鱼网站内容的源 IP 地址的顶层 DNS 域名、国家和主机操作系统的列表见 此页面 。要注意的是，在蜜罐被离线进行取证分析之前，尽管访问钓鱼网站的网页流量到达英国蜜网项目组部署的蜜罐，但并没有针对处理用户数据处理的 PHP 脚本的 HTTP POST 请求，因此在此次网络钓鱼攻击中，没有任何用户的信息被钓鱼者和我们获得。在本文提及的所有案例中，我们或是直接通报了目标机构关于攻击案例和任何相关的他们所需的相关数据，或是向当地的计算机应急响应组通报了所有相关的恶意行为。在所有案例中，没有任何受害者的私人信息被蜜网项目组和蜜网研究联盟的成员所捕获。

　　从这两个案例中的数据表明钓鱼者是非常活跃并且具有组织性的，在多个被攻陷的主机中快速地移动，并且同时以多个著名的组织结构为目标。同时数据也显示许多电子邮件用户被引诱访问假冒组织机构(如在线银行和商务网站)的钓鱼网站，网络钓鱼攻击已经给广大的互联网用户带来了安全风险。