相信不少人都有收到過釣魚郵件的經(jīng)歷。然而,隨著反垃圾郵件技術(shù)的更進(jìn),大多數(shù)這類郵件都會被系統(tǒng)自動屏蔽,而無法發(fā)送到用戶郵箱。但是,大多數(shù)并不代表全部。下面的這個例子就是個很好的說明。
這封郵件的主題是用巴西葡萄牙語寫的,主要內(nèi)容是針對Santander銀行“溢價”賬戶持有人的警告。不難看出,這是一封典型的釣魚郵件。
附件誘騙釣魚
對于普通用戶而言,多數(shù)收到這類郵件的人,都只會通過簡單的發(fā)件人信息來判斷郵件的可信度,或者直接將其拖放到垃圾箱。但是對于安全分析師而言,我們希望深入了解附件包含的內(nèi)容和消息的真正來源。
通過查看HTML源碼,我們可以看到一個非常簡單的圖片鏈接:
打開該圖片鏈接,是一個類似于Santander銀行的頁面。如下:
可以看到,該頁面的內(nèi)容依舊是用巴西葡萄牙語寫的,并且頁面上所有的聯(lián)系電話,都為Santander銀行的真實電話,整個頁面的布局也完全與銀行的溝通界面類似。需要注意的是,巴西銀行從來不會通過電子郵件的方式,向客戶發(fā)送任何安全警告。
頁面的內(nèi)容是在警告用戶,他們的計算機(jī)上的安全模塊已過期,如果不及時更新到最新版本,銀行將向他們發(fā)出246.67BRL的罰單(約$80.00)。
釣魚郵件來自何處?
一般情況下,攻擊者很少會使用自己的服務(wù)器來發(fā)送釣魚郵件。他們通常會利用手中的“肉雞”,來替自己發(fā)送。
攻擊者入侵或拿下一臺服務(wù)器,往往都有其目的性。例如竊取機(jī)密數(shù)據(jù),實施網(wǎng)絡(luò)釣魚,黑帽SEO等。當(dāng)攻擊者成功入侵并拿下服務(wù)器后,他們做的第一件事就是,創(chuàng)建一種方法來保持對該站點的持久控,制即便漏洞被修復(fù)。攻擊者通常會在網(wǎng)站安裝后門程序,根據(jù)我們2015年第三季度的“黑客入侵網(wǎng)站趨勢報告”顯示,72%遭到入侵的網(wǎng)站,都被安裝了至少一個的基于PHP后門,攻擊者通常都會安裝多個后門,來保證自己的訪問權(quán)。
一旦后門被成功安裝,攻擊者將會進(jìn)一步的對目標(biāo)站點進(jìn)行滲透,以保證利益的最大化。
郵件頭分析
我們可以通過對郵件頭的分析,得到一些有價值的信息。
例如:
X-PHP-Originating-Script - 郵件發(fā)送所使用的腳本語言
Message-ID - 顯示托管腳本的網(wǎng)站
X-Mailer - 郵件發(fā)送所使用的程序及版本
大伙可能注意到了,以上并沒有出現(xiàn)X-HEADER的內(nèi)容。這是因為X-HEADER,并非一個有效郵件事務(wù)所必須的。這些類型的頭,都是由程序添加用以跟蹤和調(diào)試目的的。
從以上頭信息中我們可以得知,原始消息發(fā)送自add-from-server.php這個腳本,并且使用的是PHPMailer [1.73版本]。PHPMailer 1.73是一個非常老的PHPMailer版本,并且存在遠(yuǎn)程代碼執(zhí)行漏洞。
從Message-ID中我們可以找到釣魚郵件的來源網(wǎng)站(上圖馬賽克),下面我將嘗試使用SiteCheck對該站點進(jìn)行掃描檢測。
掃描原始站點
從掃描結(jié)果中我們驚訝的發(fā)現(xiàn),該站點感染了垃圾SEO(黑帽SEO):
并且…根據(jù)SiteCheck顯示的網(wǎng)站詳細(xì)信息標(biāo)簽,我們可以看出該站點所使用的程序版本已經(jīng)過時,并且存在安全漏洞。
我們不能確定,在網(wǎng)站上做垃圾SEO和發(fā)送釣魚郵件的是否為同一攻擊者,因為在此之前釣魚攻擊者對于發(fā)送垃圾SEO郵件的事并不知情。其實這也并不奇怪,一個網(wǎng)站同時遭受多個攻擊者攻擊的例子,在之前的文章我早有提及。
如何避免成為受害者?
現(xiàn)在讓我們把目光轉(zhuǎn)到之前發(fā)現(xiàn)的那個,用于發(fā)送消息的add-from-server.php文件上。該文件屬于add-from-server插件下的一個文件,并且該插件存在CSRF漏洞。攻擊者可以通過向管理員發(fā)送惡意構(gòu)造的鏈接誘騙管理員點擊,從而觸發(fā)該漏洞將后門上傳至目標(biāo)站點。
網(wǎng)站所有者或其他管理員,都可能是被攻擊的對象。下面是我的一些安全建議:
不要輕易相信您收到的電子郵件,特別是附件。
停用瀏覽器中的Javascript。
不要使用辦公電腦,瀏覽有風(fēng)險的網(wǎng)站。
使用信譽(yù)良好的殺毒軟件。
設(shè)置足夠安全和強(qiáng)大的密碼。
對賬戶盡可能的啟用雙因素認(rèn)證。
*參考來源 :sucuri,F(xiàn)B小編 secist 編譯,轉(zhuǎn)載請注明來自FreeBuf(FreeBuf.COM)