真实世界的网络钓鱼技术

　　互联网用户也经常在他们自己收到欺骗性邮件发觉网络钓鱼攻击，也常常在钓鱼网站所临时架设的主机被 关闭很长时间后在技术新闻站点上看到这些恶意网站的记录副本，但这些事件只能被孤立从受害者的角度去观察。蜜网技术能够提供的一个最大的优势在于其能够从攻击者角度捕获全部行为的能力，使得安全分析员能够对网络钓鱼攻击的整个生命周期建立起一个完整的理解，来自蜜网研究联盟的成员们非常幸运地捕获了丰富的网络钓鱼攻击数据集，能够帮助他们了解真实的一次网络钓鱼攻击的全过程，从最初主机被攻陷、钓鱼网站的架设、群发垃圾邮件、到最后的受害者数据捕获。三个反映典型的真实世界网络钓鱼攻击技术的实际案例将在下面被展示和分析。

　　第一种网络钓鱼技术－通过攻陷的网站服务器钓鱼

　　大部分我们观察到真实世界中的网络钓鱼攻击涉及到攻击者攻入有漏洞的服务器，并安装恶意的网页内容。蜜网技术使得我们可以捕获一次网络钓鱼攻击的生命周期中的详细数据，在我们观察到的这些攻击事件中，普遍地存在如下一些事件：

　　攻击者扫描网段，寻找有漏洞的服务器

　　服务器被攻陷，并安装一个 rootkit 或口令保护的后门工具

　　钓鱼者从加密的后门工具获得对服务器的访问权

　　如果这个被攻陷的服务器是一个网站服务器，则下载已构建完毕的钓鱼网站内容

　　进行有限的一些内容配置和网站测试工作（这也潜在地预示着第一次访问钓鱼网站的 IP 地址可能是钓鱼者的真实 IP 地址）
 
　　群发电子邮件工具被下载，并用以大规模散发包含假冒钓鱼网站信息的欺骗性垃圾邮件

　　网页浏览的流量开始到达钓鱼网站，潜在的受害者开始访问恶意的网页内容

　　通常情况下，网站钓鱼攻击的生命周期从钓鱼网站发布到互联网上后只有几个小时或几天的时间，我们的研究也发现网络钓鱼攻击在多台服务器上针对多个组织机构在同时并行进行。我们将使用两个典型的网络钓鱼攻击的实际案例所捕获的数据来进行阐述这些原理，其中一个案例是由德国蜜网项目组观察到，另一个由英国蜜网项目组观察到。在每个案例中，蜜网研究联盟的成员们都部署了有漏洞的 Linux 蜜罐，对这两个蜜罐的攻陷过程显示了相同的攻击模式：蜜罐的被扫描和被攻陷具有非常强的连续性，并包括预先创建的钓鱼网站和群发垃圾邮件工具的上传和使用。与我们观察到的几次其他的案例中类似， Rootkit 和 IRC 服务器也同时在攻击过程中被安装，被攻陷的蜜罐同时被用以除网络钓鱼外的其他目的：如作为一个由罗马尼亚攻击者控制的 IRC 傀儡主机，同时也作为一个网络扫描器用以发现和攻击更多潜在的计算机（尽管蜜网体系框架阻止攻击者从被攻陷的蜜罐成功的攻击其他的服务器）。一些令人关注的差异也是非常显然的，不仅仅是在英国蜜网项目组观察到的案例中，也就是多个不同的组织几乎同时访问了被攻陷的主机，使得取证分析更加复杂。由于篇幅的限制，我们没有在本文中给出这些攻击的具体细节，而仅仅给出了我们所得到的经验以及钓鱼者如何进行网络钓鱼攻击。如果你对这些特定的攻击过程的更多具体细节感兴趣，你可以访问以下页面中的信息。

　　从对在这些案例中由攻击者下载的钓鱼网站内容的分析中可以明显的看出，钓鱼者在同时以多个知名的在线组织结构为假冒目标。预先精心构造、有官方标志的假冒钓鱼网站被例行性地部署到被攻陷的主机上－经常通过以不同的网页服务器根目录进行分离的“子站点”来同时架设多个组织结构的钓鱼网站，同时安装将垃圾邮件传播给潜在的受害者的必需工具。在英国蜜网项目组观察到的案例中，从 FTP 会话所列出的目录列表中可以确认这些攻击者已经很深的卷入垃圾邮件和网络钓鱼攻击中，预先构建的网站内容和邮件传播攻击被集中存放在一个集中的服务器上，并且看起来攻击的目标至少针对 eBay 、 AOL 和其他几个知名的美国银行。这些个别的网络钓鱼攻击看起来并不是隔离的单独的攻击事件，因为在这些案例中发布的垃圾邮件通常将受害者指向到几个同时存在的假冒网站服务器，同时这些垃圾邮件也同时是从多个系统中发出。从英国案例中蜜罐被攻击后第一个连入对钓鱼网站内容的 HTTP 请求也预示着并行的网络钓鱼攻击操作在进行。

　　这个连入蜜罐的 HTTP 连接在攻击者在这台蜜罐主机上架设假冒的在线银行网站之前就已经发生，这确认了攻击者已经预先知道这台服务器可以被用来作为一个钓鱼网站的假设。在攻击者在架设这个钓鱼网站的同时，引诱受害者访问这个新钓鱼网站的垃圾邮件已经从另外一台主机上发出。

　　我们对连入被攻陷的蜜罐请求假冒在线银行内容的 HTTP 请求连接的源 IP 地址数量和范围感到震惊。下面的图给出了在蜜罐从网络中断开前从各个 IP 地址访问钓鱼网站的 HTTP 请求的数目（包括每个 IP 单独计算和全部的 HTTP 请求）。

　　访问英国蜜网项目组部署蜜罐上的钓鱼网站内容的源 IP 地址的顶层 DNS 域名、国家和主机操作系统的列表见 此页面。要注意的是，在蜜罐被离线进行取证分析之前，尽管访问钓鱼网站的网页流量到达英国蜜网项目组部署的蜜罐，但并没有针对处理用户数据处理的 PHP 脚本的 HTTP POST 请求，因此在此次网络钓鱼攻击中，没有任何用户的信息被钓鱼者和我们获得。在本文提及的所有案例中，我们或是直接通报了目标机构关于攻击案例和任何相关的他们所需的相关数据，或是向当地的计算机应急响应组通报了所有相关的恶意行为。在所有案例中，没有任何受害者的私人信息被蜜网项目组和蜜网研究联盟的成员所捕获。

　　从这两个案例中的数据表明钓鱼者是非常活跃并且具有组织性的，在多个被攻陷的主机中快速地移动，并且同时以多个著名的组织结构为目标。同时数据也显示许多电子邮件用户被引诱访问假冒组织机构（如在线银行和商务网站）的钓鱼网站，网络钓鱼攻击已经给广大的互联网用户带来了安全风险。