网络钓鱼攻击常用的三种技术
第一种网络钓鱼技术-通过攻陷的网站服务器钓鱼
大部分我们观察到真实世界中的网络钓鱼攻击涉及到攻击者攻入有漏洞的服务器,并安装恶意的网页内容。蜜网技术使得我们可以捕获一次网络钓鱼攻击的生命周期中的详细数据,在我们观察到的这些攻击事件中,普遍地存在如下一些事件:
攻击者扫描网段,寻找有漏洞的服务器。
服务器被攻陷,并安装一个 rootkit 或口令保护的后门工具。
钓鱼者从加密的后门工具获得对服务器的访问权。
如果这个被攻陷的服务器是一个网站服务器,则下载已构建完毕的钓鱼网站内容。
进行有限的一些内容配置和网站测试工作。(这也潜在地预示着第一次访问钓鱼网站的 IP 地址可能是钓鱼者的真实 IP 地址)
群发电子邮件工具被下载,并用以大规模散发包含假冒钓鱼网站信息的欺骗性垃圾邮件。
网页浏览的流量开始到达钓鱼网站,潜在的受害者开始访问恶意的网页内容。
第二种网络钓鱼技术-通过端口重定向钓鱼
当攻击者获得被攻陷主机的访问权后,他并没有直接上传钓鱼网站内容。取而代之的是,攻击者在蜜罐上安装并配置了一个端口重定向服务。
这个端口重定向服务被设计成将发往该蜜罐网站服务器的 HTTP 请求以透明的方式重新路由到另外一个远程的网站服务器,这种方式潜在地使得对钓鱼网站内容更难追踪。攻击者下载并在蜜罐上安装了一个称为 redir 的工具,此工具是一个能够透明地将连入的 TCP 连接转发到一个远程的目标主机的端口 重定向器。在此次案例中,攻击者配置该工具将所有到蜜罐 TCP 80 端口( HTTP )的流量重定向到一个位于 中国 的远程网站服务器的 TCP 80 端口。有意思的是,攻击者并没有在蜜罐上安装 Rootkit 以隐藏他的存在,这也说明攻击者并没有把被攻陷的主机的价值看的很重,同时并不担心被检测到。
第三种网络钓鱼技术-通过僵尸网络进行钓鱼
一个僵尸网络是由可被攻击者远程控制的被攻陷主机所构成的网络。由于他们的巨大数量(可以有成千上万的主机一起连接),当僵尸网络被用以分布式拒绝服务攻击时,可以对互联网社区构成巨大的威胁。在 2004 年 10 月的一次调查中,电子邮件安全公司 CipherTrust 得出了 70% 监视到的钓鱼垃圾邮件是从 5 个活跃的僵尸网络中的 1 个所发出的,但是我们的观察显示有更多的僵尸网络已经被用来进行发送垃圾邮件。尽管还没有一个显著的实际案例分析,在本节中我们还是给出了我们对可被攻击者以僵尸网络的方式进行网络钓鱼攻击的工具和技术的观察结果。
一些在此研究项目中捕获的僵尸工具提供了在被攻陷主机上远程启动一个 SOCKS v4/v5 代理的能力。 SOCKS 为基于 TCP /IP 的网络应用程序提供了一种通用化的代理机制( RFC 1928 ),可以被用来代理最普遍的互联网流量,如 HTTP 和 SMTP 等。如果攻击者能够成功地通过僵尸网络的控制使得各个远程傀儡主机上都开放 SOCKS 代理服务功能,那么该主机可以被用来发送大量的垃圾邮件,如果僵尸网络中包含成千上万的傀儡主机,那么攻击者可以轻易地发送巨大数量的垃圾邮件,而这些垃圾邮件的发送源头却是覆盖巨大 IP 地址范围的属于一些无戒备心用户的家庭 PC 机。
不存在集中的控制点,以及其范围超出了国界使得很难对僵尸网络的活动进行追踪和阻断。这也使得僵尸网络为垃圾邮件发布者和钓鱼者提供了一种低风险的、但高回报的攻击方法。或许不会令人惊讶,富有傀儡资源的僵尸网络拥有者已经开始以犯罪为目标,并且目前也已经出现租借僵尸网络的现象。