作者:sccs@知道創宇404積極防御實驗室
時間:2021年01月07日
概述
2022年01月06日 10:35,創宇智腦監測到針對某企業郵箱客戶的釣魚郵件,據該企業郵箱官網介紹,其用戶量超過3000萬。404積極防御實驗室對釣魚郵件進行分析,發現該釣魚網站攻擊對象重點是中國和美洲地區。
僅8小時就監控到有343家企業,其中不乏智能制造、高校、醫療和金融等行業,共計359個賬號受害。
按照該釣魚網站使用的數字證書生效時間(2022年1月5日)預估,截止到2022年1月6日約有500個企業郵箱賬號受害;按照釣魚網站的創建時間(2020年3月23日)預估,截止到2022年1月6日約有13萬個企業郵箱賬號受害,并且受害者還在持續增加。
技術分析
受害單位分析
據統計,70%以上的受害單位都能直接在官方網站上獲取企業郵箱賬號,其中不乏有直接跳轉到該企業郵箱登錄頁面的網站,這直接為攻擊者指明了攻擊對象。
在分析釣魚網站攻擊對象時發現,北京和香港是主要受攻擊地區,其中受害單位分別達到48家和30家。
根據對受害行業的統計,智能制造、高校、醫療、金融、貿易和科技等行業是被攻擊的重點對象。
釣魚郵件分析
該釣魚郵件以標題為“您收到來自上海薩莉亞餐飲有限公司的電子發票”,內容使用“發票通”電子發票內容進行偽裝,在下載發票PDF和發票圖片的鏈接背后嵌入惡意釣魚網站地址。
當受害者點擊下載發票PDF鏈接的時候,會跳轉到釣魚頁面。當受害者輸入自己的郵箱帳號、密碼之后該釣魚網站會記錄在后臺。
釣魚網站分析
根據該釣魚網站的域名特點,我們將其命名為“重狗”。
對該企業郵箱釣魚網頁提交表單分析發現,受害者提交的數據發送到一個名為i.php的頁面。
在分析該釣魚網站網頁結構時發現,該釣魚網站可以遍歷目錄。
從目錄結構可知該釣魚網站使用logs.php模擬帳號登錄頁面,index_files則是釣魚頁面需要調用的靜態資源,i.php處理受害者提交的數據并將數據寫入到data.txt中。
從圖2-3-2可以看到靜態資源創建時間為2020年3月23日,由此可知該釣魚網站蓄謀已久,且受害單位眾多。
通過持續對存儲受害者信息的data.txt的創建時間監控發現,該文件每隔10分鐘左右分鐘會自動刪除。結合該網站創建時間(2020年3月23日)可以得出,受害單位的數量遠遠大于目前我們所發現的343家單位,按照該釣魚網站創建時間推算,約有13萬個該企業郵箱賬號被成功釣魚。
目前可能由于太多受害者訪問該釣魚網站,導致釣魚網站服務器超出帶寬限制而不能訪問。
對該域名使用的數字證書分析時發現該域名曾使用過一個2022年1月5日才生效的數字證書,且釣魚攻擊還在持續進行中該證書還未被標記為惡意證書。
跟蹤分析該證書授權域名可以發現,該網站也可以目錄遍歷,且和該企業郵箱釣魚網站的目錄結構和文件創建時間高度接近,疑為同一攻擊者架設的釣魚網站。
進一步分析發現,該網站是針對美洲某信用社的釣魚網站,綜合上述分析得知,該釣魚網站不僅僅針對中國發起了釣魚攻擊,還會對美洲地區發起釣魚攻擊。
根據對該釣魚網站的整體分析結果可以繪制出該釣魚網站大致攻擊時間軸:
安全建議
1、已點擊郵件中鏈接,并輸入了郵箱密碼的用戶,請立即登錄賬戶修改密碼,新密碼不使用純數字、純字母等過于簡單的郵箱登錄口令,務必要使用十二位以上,由數字、大小寫字母和特殊字符組成的復雜密碼,并定期更換密碼。
2、及時修改與該郵箱密碼相同的其他系統的賬號密碼。
3、不啟用賬號密碼登錄,使用二維碼掃描登錄或手機號驗證碼登陸。
4、官網展示的聯系郵箱可與企業內部郵箱分開,避免泄露敏感信息。
5、使用電子郵件安全網關,過濾釣魚郵件和垃圾郵件。
披露申明
本報告由知道創宇 404積極防御實驗室 編寫。考慮到相關信息的敏感性和特殊性,本報告中和受害者相關的郵箱賬號密碼信息我們將做模糊處理;
同時為預防其他攻擊者利用釣魚網站公開信息泄露受害者的個人隱私,本報告涉及到的 IP、Domain、URL、HASH 等一系列IOC(Indicators of Compromise,攻陷指標)已做模糊處理。
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.jmbmsq.com/1811/
暫無評論