概要
网络钓鱼仍然是网络攻击最危险的威胁向量之一。尽管漏洞利用工具包总体呈下降趋势,正如我们在《 Rig EK One Year Later: From Ransomware to Coin Miners and Information Stealers 》一文中描述的那样,网络钓鱼本身并没有下降。 Unit 42 在最近已经开展了有关网络钓鱼攻击和钓鱼网址的研究。在这篇文章中,我们将展示在 2018 年第一季度( 1 月至 3 月)完成的一些有关网络钓鱼攻击,尤其是 HTTPS 钓鱼网址的统计结果。
钓鱼网址统计结果在 2018 年第一季度,我们发现了来自 262 个用于网络钓鱼攻击的独特域 名 的 4213 个网址。平均而言,我们发现每一个域 名 服务于 16 个不同的钓鱼网址。下面的热点图显示了这 262 个域名的地理分布。
图 1. 网络钓鱼域名地理分布热点图 在这些网络钓鱼域名中,有超过一半托管在美国。排在其后的两个国家,托管的域名数量明显减少:德国 28 个,波兰 13 个。如图 2 所示。
图 2. 托管网钓鱼域名的国家 / 地区,以及对应的数量
我们还发现了几个托管在非洲和南美的网络钓鱼域名。
在 4213 个钓鱼网址中,有 2066 个使用一个通用的钓鱼页面模板,可以针对多个不同的公司或组织。例如,攻击者使用 name 为 “next1.php” 和 ID 为 “chalbhai” 的表单来瞄准美国银行的客户。我们还观察到,与之类似的模板瞄准了 DropBox 用户,并用于美国国家税局( IRS )的税务欺诈计划。
图 3.chalbhai 钓鱼网页源代码示例
除了通用的钓鱼页面模板之外,还有 1404 个网址包含瞄准 Adobe 用户的钓鱼页面, 155 个瞄准 DropBox 用户, 18 个瞄准 Facebook 用户, 442 个瞄准 Google Docs 用户, 108 个瞄准 Google Drive 用户以及 20 个瞄准 Office 365 用户。图 4 是一个柱形图,展示了按目标分类的钓鱼网址分布。从图中我们可以看到,使用通用钓鱼页面的网址约占总数的 50% ,其次是瞄准 Adobe 和 Google 帐户的网址,分别占 33 %和 13 %。除前三名外,还有一些瞄准 Office 365 和 Facebook 账户的网址。
图 4. 钓鱼网址分布
HTTPS钓鱼网址HTTPS 钓鱼网址更加难以识别。因此,我们在识别和分析它们上付出了更多的努力。在 4213 个钓鱼网址中, 1010 个来自 46 个唯一域名的 HTTPS 网址。平均而言,一个域名投放了 21 个不同的钓鱼网址。图 5 显示了 HTTP 和 HTTPS 在钓鱼网址和域名上的比较。
图 5.HTTP 和 HTTPS 比较 我们还调查了 46 个域名的证书颁发机构。我们发现 “cPanel” 为 31 个钓鱼域名颁发了证书, “COMODO” 和 “Let’s Encrypt” 分别为 6 个不同的钓鱼域名颁发了证书, “Go Daddy Secure” 颁发了一个,还有 2 个不再使用的域。如图 6 所示。
图 6. 证书颁发机构
Unit 42 已经联系了所有托管机构和证书颁发机构。 “Comodo” 证书已经不再被 Google 信任,这里只有一个来自 “Go Daddy Secure” 。下图包含了完整的域名和证书列表。我们强烈建议将它们添加到可疑证书列表中。
图 7. 网络钓鱼域名证书颁发机构 网络钓鱼工具包 为了使网络钓鱼攻击更加有效,攻击者通常会将一个网站(旨在用于网络钓鱼攻击活动)的修改后的文件复制并打包到一个 zip 文件,并将其上传到多个受损网站。这个 zip 文件可以被认为是 钓鱼工 具包( phishing kit ) 的一部分。解压 zip 文件并部署钓鱼网站后,一些攻击者未能删除 zip 文件,使得研究人员可以公开访问该文件以分析其内容。在我们的研究中,我们收集了钓鱼 zip 文件样本。以下是一个钓鱼示例,目标瞄准的是 Outlook/Office365 帐户,如图 8 和图 9 所示。
图 8. 网络钓鱼工具包的目录
图 9. 网络钓鱼工具包中 CSS 目录的内容 总结
在本文中,我们展示了一些来自 2018 年第一季度的钓鱼统计数据,展示了钓鱼攻击目标分布、通用的钓鱼模板和网络钓鱼工具包。特别是,我们展示了 HTTPS 钓鱼网址及其证书颁发机构的分布。 HTTPS 钓鱼网址是值得注意的,因为许多人认为 HTTPS 更加值得信任,但与之对应的,恶意链接也更加难以识别。
IOCs Carrentalahmedabad[.]info(dead)
(dead)
Sdlfkjttq[.]tk(dead)
(dead)
ana-ero[.]bidCOMODO ECC Domain Validation Secure Server CA 2
sni50732.cloudflaressl[.]com