Bindweed:深入挖掘隱藏的釣魚網路
在之前對服務中心的攻擊調查中,FortiGuard實驗室發現了犯罪分子使用的域名列表。在後續的監控過程中,我們發現其中一個網路伺服器上的網路釣魚HTML頁面冒充Dropbox登入頁面。之後,當分析此頁面的連線時,我們發現同一頁面位於Web上的數百個其他位置。在進一步調查過程中,我們發現了用於此“工業規模”網路釣魚案例的網路釣魚工具包。
在本文中,我們將分析網路釣魚頁面、用於建立這些頁面的工具集以及犯罪分子在該網路釣魚工具集中留下的痕跡。
一、Bindweed之葉——一個釣魚頁面
在之前的調查中我們發現了一個域名為brtory [.] com。此域名具有名為dropboxfile的子域。我們調查的起始點位於此子域的目錄內——網路釣魚HTML頁面。
hxxp://dropboxfile.brtory[.]com/dropbox/filebox/dropboxx/index.php 48c13f603da1e1540cc9530b5c1d50497a128243e4952a161e84581554b138b4
考慮到此頁面的URL,毫不奇怪這是冒充Dropbox登入頁的頁面。雖然誘騙頁面的外觀與原始Dropbox登入頁面不完全相同,但它足夠欺騙毫無警惕心的使用者。
圖1:左側的網路釣魚頁面和右側的原始Dropbox登入頁面
請注意,缺少的一些重要功能,例如“忘記密碼?”或“建立帳戶”。這種型別的漏洞在許多仿冒頁面中很常見,利用這點可以很簡單的分辨是否是釣魚網站。
現在讓我們將注意力轉向網路釣魚頁面的程式碼。此HTML頁面使用Dreamweaver庫“SpryAssets”。經過進一步調查,我們發現一組網路釣魚站點都使用此庫,因為它的輸入資料格式驗證方便。原始的Dropbox登入頁面沒有使用“SpryAssets”庫(至少在撰寫本文時是這樣)。
圖2:網路釣魚頁面的部分程式碼
網路釣魚服務通常設計成允許使用者輸入的資料(通常是登入名和密碼)傳輸給犯罪分子的方式。可以使用幾種方法實現該目標。在此特殊情況下,網路釣魚頁面對同一URL使用POST方法,“form action”欄位用於指定表單提交的位置,值“#”對應於相同URL新增字尾#:
圖3:網路釣魚HTML頁面的一部分程式碼
我們能夠檢測到此頁面的變體用作網路釣魚郵件的附件。此類電子郵件的樣本如下圖所示。在此情形下,“form action”不包含#,而是包含用於傳送使用者輸入資料的完全限定URL。當然,所有其他相關路徑也會更改為攻擊者控制的伺服器的絕對路徑。
圖4:網路釣魚郵件樣本
圖5:網路釣魚活動中使用的釣魚HTML頁面的一部分程式碼
二、短URL Telltale標誌
當我們分析所有指向同一物件(初始html頁面)的URL時,我們在一些URL的“尾部”發現了一些資訊。下圖著重強調了一個例子。根據谷歌上搜索的資訊,這一新增可能意味著使用了hootsuite.com短URL服務,並且短連結是在其儀表板連結縮短器的幫助下建立的。
圖6:短URL服務的“尾部標誌”
後來,我們發現另一種使用ow.ly連結縮短器,它也與Hootsuite相關聯。
Hootsuite.com被宣傳為“社交媒體管理”平臺。因此,我們預計網路釣魚活動不僅會使用電子郵件,還會在社交媒體訊息中啟動。
三、Bindweed之枝——一個釣魚網路
在繼續調查期間,我們發現初始物件(HTML頁面)已被複制到數百個不同的網路位置。然而,這不是事件的結尾。當開始分析相關域名時,我們發現它們還託管多個網路釣魚頁面。
例如,在下圖中,我們可以看到域名earthspiritenergies [.] com.au的關係圖。其中一個“葉子”是我們的初始HTML頁面,以黃色矩形顯示。紅色圓圈中顯示的網址與Dropbox網上誘騙網頁相關。為清楚起見,這裡只顯示了七個,但實際上還有幾十個。除了“Dropbox”集合外,還有另一個代表DocuSign網路釣魚頁面的“分支”(顯示在藍色圓圈中)。
圖7:域名earthspiritenergies [.] com.au的不同網路釣魚URL叢集。Graph是使用VirusTotal Graph建立的。
另一個有趣的例子是qtymusic [.] comdomain。在下圖中,我們可以看到Dropbox網路釣魚頁面叢集(這次以藍色顯示)。綠色和紫色圓圈是cPanel和Webdisk URL。由於它們在調查期間不可用,我們無法確定這是否是另一個網路釣魚頁面,或者它是否是用於管理網路伺服器的真實cPanel。
圖8:域qtymusic [.] com的連線圖。Graph是使用VirusTotal Graph建立的。
但是,這裡有一些新東西:我們可以看到與POS軟體相關的奇怪URL。這與域名不匹配,因此犯罪分子也有可能插入此連結。
雖然在我們的研究過程中沒有此URL的內容可用,但我們可以嘗試在相反的方向上跟蹤連結。以下是Google對指定域名搜尋的響應。
圖9:Google搜尋qtymusic [] com的結果
Google搜尋結果說明了兩件事:
·有幾百個不同的網站包含qtymusic [.] com的連結。
· 該連結被隨機插入句子中間。
所有這些域名都不可能全被犯罪分子登記。相反,更有可能這是用於推廣qtymusic [.] com的一些黑客攻擊活動的結果。
圖10顯示了其中一個站點,現在包含qtymusi [.]com的連結。在此特殊情況下,它會出現在日本醫院被黑的網頁上。
圖10:修改後的網頁,隨機插入qtymusic [.] com連結
被黑客入侵的網路伺服器的數量和插入的超連結的“無意識”告訴我們使用了某種自動化工具。最有可能的是,所有這些Web伺服器共享一個共同的漏洞,該漏洞被犯罪分子使用的一些修改指令碼利用。
四、深入到Bindweed之根
此時,我們知道到我們正在處理某種網路釣魚-惡意軟體網路,這些網路“纏繞”了成千上萬的存在漏洞的網路伺服器。這就是我們將其稱為Bindweed的原因。我們從它的“葉子”開始,然後我們跟隨它的“分支”。但是這個網路實際上有一個“根”嗎?
好吧,雖然我們還沒有找到“邏輯根”(例如,那些做過它的人),但我們找到了“技術根”。我們設法找到了我們認為用於建立網路釣魚基礎設施的網路釣魚工具包的伺服器。
釣魚工具包
ab851e5b17f382fdea66e5c52aec6cfde70881e492211ea0e4b4551e60d7b409
網路釣魚工具包本質上是一個ZIP存檔,包含模仿原始Dropbox登入頁面所需的全套目錄、影象、CSS和PHP指令碼。網路釣魚工具包內的所有路徑都是相對的。因此,除了將要傳送抓取資訊的電子郵件地址之外,它可以解壓縮到存在漏洞的伺服器而無需修改工具包的指令碼。
圖11:網路釣魚工具包映像檔案目錄
Index.php是一個支援PHP的頁面,它有一個嵌入式HTML頁面——我們調查開始的頁面。verification.php頁面用於誘使受害者提交電話號碼。兩個頁面共享相同的程式碼以傳送使用者的輸入。
下圖中顯示的程式碼嘗試將輸入的資訊傳送到指定的電子郵件地址。之後,它將使用者重定向到正常的Dropbox頁面。
圖12: 用於將使用者資訊傳送到指定電子郵件地址的程式碼
從上圖中我們可以看到有人已經輸入了兩個發信人的電子郵件地址(以紅色矩形顯示)。我們意識到這與Bindweed網路中使用的地址不同。相反,這很可能是此套件的初始釋出者的電子郵件。另一種可能性是這些電子郵件是故意插入的——為該存檔的釋出者不喜歡的人建立虛假的跟蹤。
話雖這麼說,我們決定看看能否找到與這些電子郵件地址相關的內容。
五、已發現的Email地址
當我們搜尋anthonysaffo24 [@] gmail.com時,我們發現了在2015年這個地址與欺詐犯罪聯絡起來的資訊。聲稱這個電子郵件地址被用來欺騙人們為出租房屋支付保證金。看起來這個電子郵件地址背後的人與這個房子無關。我們在 ofollow,noindex">這裡 找到了關於這個事件的事實。
在引用的電子郵件中,我們找到了電話號碼(336)291 38XX。根據這個scambook執行緒,此相同的電話號碼已經與不同的電子郵件地址一起使用,但具有相同的欺詐場景。因此,有理由相信其他電子郵件地址也被同一組參與者使用,即:
·anthonysaffo24[@]gmail.com
· ashleydenton67[@]yahoo.com
· truss.jason[@]yahoo.com
· davidsewell197[@]outlook.com
六、總結
FortiGuard Labs發現了一個釣魚網路,它利用了數千個存在漏洞的網路伺服器。在某些伺服器上有多個網路釣魚域名。這些Web伺服器有可能被兩個不同的組織獨立利用,因為網路釣魚頁面的程式碼是完全不同的。
此外,我們設法將Dropbox網路釣魚頁面的來源追溯到已釋出的網路釣魚工具包之一。在這個網路釣魚工具包中,我們發現插入了幾個電子郵件地址,其中一個已被用於欺詐犯罪。
FortiGuard Labs將繼續監控調查期間發現的網路伺服器和域名。