普遍的攻击旋律

在我们对网络钓鱼攻击的研究过程中发现了一些普遍的攻击旋律，攻击者显然在混合使用一些工具和技术来提高他们成功的机会。我们现在开始分析两种这样的技术－批量扫描和组合式攻击。

批量扫描

通过对一些被攻陷蜜罐的分析表明，系统是自动化的攻击脚本所攻陷，这些自动化攻击脚本通常被称为 autorooters 。在上面描述的两个案例中，一旦攻击者攻陷了蜜罐， autorooter 的 toolkits 就被上传到服务器上，然后攻击者就开始尝试扫描一些 IP 地址空间段来寻找其他同样存在漏洞的服务器（在德国案例中使用的称为 superwu 的扫描器，而在英国案例中使用了 mole 扫描器）。在英国案例中捕获的攻击者键击记录如下所示，显示了从被攻陷的蜜罐发起的批量扫描的实例。注意由于蜜网配置，这些往外的恶意流量会被阻断，从而这些攻击不会成功。

攻击者解压缩扫描器，并尝试扫描 B 类地址空间段：
[2004-07-18 15:23:31 bash 0]tar zxvf mole.tgz
[2004-07-18 15:23:33 bash 0]cd mole
[2004-07-18 15:23:38 bash 0]./mazz 63.2
[2004-07-18 15:24:04 bash 0]./mazz 207.55
[2004-07-18 15:25:13 bash 0]./scan 80.82

击者尝试攻击潜在的有漏洞的服务器：
[2004-07-19 11:56:46 bash 0]cd mole
[2004-07-19 11:56:50 bash 0]./root -b 0 -v ns1.victim.net
[2004-07-19 11:57:26 bash 0]./root -b 0 -v 66.90.NNN.NNNs

攻击者在一段时间后回来查看已经成功攻陷的服务器列表（这个列表是空的，由于蜜网的配置）：
[2004-07-23 08:13:18 bash 0]cd mole
[2004-07-23 08:13:20 bash 0]ls
[2004-07-23 08:13:25 bash 0]cat hacked.servers

攻击者尝试扫描更多的 B 类地址空间段，并随后测试对选择目标进行攻击：
[2004-07-24 10:24:17 bash 0]cd mole
[2004-07-24 10:24:19 bash 0]./scan 140.130
[2004-07-24 10:24:27 bash 0]./scan 166.80
[2004-07-24 10:25:36 bash 0]./scan 166.4
[2004-07-24 10:26:23 bash 0]./scan 139.93
[2004-07-24 10:27:18 bash 0]./scan 133.200
[2004-07-24 10:36:37 bash 0]./try 202.98.XXX.XXX
[2004-07-24 10:38:17 bash 0]./try 202.98.YYY.YYY
[2004-07-24 10:38:27 bash 0]./try 202.98.YYY.YYY

在上述最后一个例子中，注意攻击者尝试攻陷的几个主机并不在从这个蜜罐扫描的 IP 地址范围内，这又一次提供了批量扫描行为的高协同性和并行性。

对英国攻击者下载的 mole .tgz 文件的进一步调查揭示了在解压后的 aotorooter toolkit 的根目录中有一些 text 文件。这些文件包括扫描配置信息和之前扫描“ grabbb2.x and samba 2.2.8 vulnerability ”的扫描结果日志。在这些文件中还包含 42 个针对其他主机的攻击案例，以及针对多个 B 类地址空间扫描的结果，从而证明了观察到的攻击案例是一个更大的更具组织性的针对类似系统的攻击中的一部分。一个从攻击者的角度查看的 mole 扫描工具的输出结果的实例，可以在 这 找到。

最后，一些从攻陷蜜罐上发现的批量扫描工具看起来并没有广泛地传播，这也显示了这些攻击者拥有超越基本的脚本小子的一定水平的开发能力和工具制造能力，或者是一个并没有将他们的工具共享给公开论坛的封闭社团的成员。又一次，这显示了具有良好组织性的攻击者的能力。

组合式攻击

在我们的研究中，我们也发现了钓鱼者经常组合三种不同的攻击技术。正如我们观察到，并在本文所描述的，一些时候多种方法将提供一些冗余性，并通过一个两层的网络拓扑配置保护他们的网络钓鱼攻击基础设置。下图描述了一种可能的网络钓鱼攻击拓扑结构：

在这个实例中，一个中央的网站服务器架设了物理上的钓鱼网站内容，通常包含针对多个目标机构的多个网站（如在 /ebay 目录下有 一个 eBay 钓鱼网站，在 .paypal 目录下有一个 PayPal 钓鱼网站 ）。一些被攻陷的远程主机在 redir 端口重定向器的帮助下将连入 TCP 80 端口的 HTTP 流量重定向到中央的网站服务器。这种方案从攻击者的角度看来比一个单一的钓鱼网站拥有以下的一些优势：

如果一台远程的 redir 主机被检测到了，那么受害者将把这个系统离线并重新安装，但这并不会对钓鱼者构成很大的损失，因为主钓鱼网站仍然在线，而且其他的 redir 主机仍然可以将 HTTP 流量转发到中央网站服务器。

如果中央的钓鱼网站服务器被检测到，这个系统将被离线，但钓鱼者可以在一台新攻陷的主机上重新架设钓鱼网站，并重新矫正原先的 redir 主机重定向流量到代替的中央网站服务器。使用这种技术，整个网络可以很快地重新恢复可用，网络钓鱼攻击可以快速地重新开始。

一台 redir 主机可以非常灵活，因为它可以通过非常简单地重新配置指向另外一个钓鱼网站。这也减少了从初始的系统攻陷到钓鱼网站可用的这段时间，从而增加了网络钓鱼攻击可以进行的时间长度。

使用这样的组合攻击技术又一次验证了攻击者的高组织性和能力，而不仅仅是简单的脚本小子。类似的运行模型也经常被主流的网站服务提供商和超大容量数据内容提供商（如 Google ）所运用。

进一步的发现：资金转账

我们的研究同时也关注钓鱼者如何使用捕获的银行账号信息（如一个与相关的交易代号联系在一起的银行账号）。因为大多数银行都对跨国的资金流通进行监控，钓鱼者并不能简单地不引起金融权威机构注意下，从一个国家转移一大笔资金到另外一个国家。钓鱼者于是使用一些中介来为他们转移资金－以两阶段的步骤，钓鱼者先从受害者银行账号中把钱转移到一个同国中介人的银行账号中，中介人然后从他们的银行账号中提出现金（留下一定百分比作为他们的提供此转账服务的报酬）并寄给钓鱼者，如通过普通的地面信件。当然，这些中介人可能被捕，但是由于钓鱼者的钱已经在传输途中，他们并不会面对太大的安全风险，同时也可以很容易地转移他们的资金流通渠道到另外的中介人。一个可以说明在网络钓鱼攻击背后的金融结构的电子邮件实例如下：

Hello!
We finding Europe persons, who can Send/Receive bank wires
from our sellings, from our European clients. To not pay
TAXES from international transfers in Russia . We offer 10%
percent from amount u receive and pay all fees, for sending
funds back.Amount from 1000 euro per day. All this activity
are legal in Europe .
Fill this form: http://XXX.info/index.php (before filling
install yahoo! messenger please or msn), you will recieve
full details very quickly.
_________________________________________________________

Wir, europ?ische Personen findend, die Bankleitungen
davon Senden/erhalten k?nnen unsere Verk?ufe, von
unseren Kunden von Deutschland. STEUERN von internationalen
übertragungen in Russland nicht zu bezahlen. Wir
erh?lt das Prozent des Angebots 10 % vom Betrag und
bezahlt alle Schulgelder, um Kapital zurück zu senden.
Betrag von 1000 Euro pro Tag. Diese ganze T?tigkeit
ist in Europa gesetzlich.
Füllen Sie diese Form: http://XXX.info/index.php (bevor
die Füllung Yahoo installiert! Bote bitte oder msn), Sie
recieve volle Details sehr.

Thank you, FINANCIE LTD.

这是一封从英文到德文的非常烂的翻译稿，可能是通过翻译软件自动产生的，这也说明攻击者并不是以英语为母语的。因为钱将会被转移到俄罗斯，所以攻击者很可能来自这个国家。资金转移行为也正随着网络钓鱼攻击越来越具组织性变得越来越普遍。