針對銀行釣魚事件的分析

責(zé)任編輯:editor004

作者:secist

2017-03-17 11:35:54

摘自:黑客與極客

一旦后門被成功安裝,攻擊者將會進(jìn)一步的對目標(biāo)站點進(jìn)行滲透,以保證利益的最大化。從Message-ID中我們可以找到釣魚郵件的來源網(wǎng)站(上圖馬賽克),下面我將嘗試使用SiteCheck對該站點進(jìn)行掃描檢測。

相信不少人都有收到過釣魚郵件的經(jīng)歷。然而,隨著反垃圾郵件技術(shù)的更進(jìn),大多數(shù)這類郵件都會被系統(tǒng)自動屏蔽,而無法發(fā)送到用戶郵箱。但是,大多數(shù)并不代表全部。下面的這個例子就是個很好的說明。

這封郵件的主題是用巴西葡萄牙語寫的,主要內(nèi)容是針對Santander銀行“溢價”賬戶持有人的警告。不難看出,這是一封典型的釣魚郵件。

附件誘騙釣魚

對于普通用戶而言,多數(shù)收到這類郵件的人,都只會通過簡單的發(fā)件人信息來判斷郵件的可信度,或者直接將其拖放到垃圾箱。但是對于安全分析師而言,我們希望深入了解附件包含的內(nèi)容和消息的真正來源。

通過查看HTML源碼,我們可以看到一個非常簡單的圖片鏈接:

hacked-image-code-499x650.png

  打開該圖片鏈接,是一個類似于Santander銀行的頁面。如下:

portuguese-bank-phishing-screenshot-650x419.png

可以看到,該頁面的內(nèi)容依舊是用巴西葡萄牙語寫的,并且頁面上所有的聯(lián)系電話,都為Santander銀行的真實電話,整個頁面的布局也完全與銀行的溝通界面類似。需要注意的是,巴西銀行從來不會通過電子郵件的方式,向客戶發(fā)送任何安全警告。

頁面的內(nèi)容是在警告用戶,他們的計算機(jī)上的安全模塊已過期,如果不及時更新到最新版本,銀行將向他們發(fā)出246.67BRL的罰單(約$80.00)。

釣魚郵件來自何處?

一般情況下,攻擊者很少會使用自己的服務(wù)器來發(fā)送釣魚郵件。他們通常會利用手中的“肉雞”,來替自己發(fā)送。

攻擊者入侵或拿下一臺服務(wù)器,往往都有其目的性。例如竊取機(jī)密數(shù)據(jù),實施網(wǎng)絡(luò)釣魚,黑帽SEO等。當(dāng)攻擊者成功入侵并拿下服務(wù)器后,他們做的第一件事就是,創(chuàng)建一種方法來保持對該站點的持久控,制即便漏洞被修復(fù)。攻擊者通常會在網(wǎng)站安裝后門程序,根據(jù)我們2015年第三季度的“黑客入侵網(wǎng)站趨勢報告”顯示,72%遭到入侵的網(wǎng)站,都被安裝了至少一個的基于PHP后門,攻擊者通常都會安裝多個后門,來保證自己的訪問權(quán)。

一旦后門被成功安裝,攻擊者將會進(jìn)一步的對目標(biāo)站點進(jìn)行滲透,以保證利益的最大化。

郵件頭分析

我們可以通過對郵件頭的分析,得到一些有價值的信息。

例如:

X-PHP-Originating-Script - 郵件發(fā)送所使用的腳本語言

Message-ID - 顯示托管腳本的網(wǎng)站

X-Mailer - 郵件發(fā)送所使用的程序及版本

大伙可能注意到了,以上并沒有出現(xiàn)X-HEADER的內(nèi)容。這是因為X-HEADER,并非一個有效郵件事務(wù)所必須的。這些類型的頭,都是由程序添加用以跟蹤和調(diào)試目的的。

從以上頭信息中我們可以得知,原始消息發(fā)送自add-from-server.php這個腳本,并且使用的是PHPMailer [1.73版本]。PHPMailer 1.73是一個非常老的PHPMailer版本,并且存在遠(yuǎn)程代碼執(zhí)行漏洞。

Message-ID中我們可以找到釣魚郵件的來源網(wǎng)站(上圖馬賽克),下面我將嘗試使用SiteCheck對該站點進(jìn)行掃描檢測。

掃描原始站點

從掃描結(jié)果中我們驚訝的發(fā)現(xiàn),該站點感染了垃圾SEO(黑帽SEO):

sitecheck-results-spam-seo-650x636.png

并且…根據(jù)SiteCheck顯示的網(wǎng)站詳細(xì)信息標(biāo)簽,我們可以看出該站點所使用的程序版本已經(jīng)過時,并且存在安全漏洞。

sitecheck-website-details-650x467.png

我們不能確定,在網(wǎng)站上做垃圾SEO和發(fā)送釣魚郵件的是否為同一攻擊者,因為在此之前釣魚攻擊者對于發(fā)送垃圾SEO郵件的事并不知情。其實這也并不奇怪,一個網(wǎng)站同時遭受多個攻擊者攻擊的例子,在之前的文章我早有提及。

如何避免成為受害者?

現(xiàn)在讓我們把目光轉(zhuǎn)到之前發(fā)現(xiàn)的那個,用于發(fā)送消息的add-from-server.php文件上。該文件屬于add-from-server插件下的一個文件,并且該插件存在CSRF漏洞。攻擊者可以通過向管理員發(fā)送惡意構(gòu)造的鏈接誘騙管理員點擊,從而觸發(fā)該漏洞將后門上傳至目標(biāo)站點。

網(wǎng)站所有者或其他管理員,都可能是被攻擊的對象。下面是我的一些安全建議:

不要輕易相信您收到的電子郵件,特別是附件。

停用瀏覽器中的Javascript。

不要使用辦公電腦,瀏覽有風(fēng)險的網(wǎng)站。

使用信譽(yù)良好的殺毒軟件。

設(shè)置足夠安全和強(qiáng)大的密碼。

對賬戶盡可能的啟用雙因素認(rèn)證。

*參考來源 :sucuri,F(xiàn)B小編 secist 編譯,轉(zhuǎn)載請注明來自FreeBuf(FreeBuf.COM)

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號