从一个钓鱼文档到伪造QQ钓鱼站点的攻击者过程追溯

前言

近日，奇安信高级威胁研究团队在日常威胁狩猎过程中，捕获到一个专门为中文使用者设计的诱饵RTF文档。该文档内仅含有一个跳转链接，通过基于多数据源的深度关联分析后，我们发现这起攻击背后实际上是一个专业伪造163和QQ相关网站进行钓鱼的黑产从业人员。

攻击手段分析

本次攻击所使用的诱饵为：各单位违法乱纪通告人员名单.rtf。

从诱饵文档名称分析，该名称的文档在党政邮箱内经常出现，且针对此类通告事件从政人员基本都会点击观看，因此会大大提升上当受骗的几率。

该样本于 2019年3月11日14点01分，在一台用户名为 Xab 的默认使用中文语言的windows计算机上，通过WPS进行创建 。

并且由于样本中仅嵌有一个链接跳转，因此杀毒软件肯定是不会对其进行报警处理。

而打开诱饵可以发现其内容大致为一张模糊的带公章的图片和一条提示点击跳转链接的标识语，以便诱骗打开文档的人点击此处更新的链接，从而进行下一步攻击行为。

可见下图点击蓝色处链接即可跳转至钓鱼网站：hxxp://skiad.xj400.cn/163?userid=20&type=hong。

而此时，该域名指向的IP地址已经失效，但经过关联分析后，我们发现其实际指向IP为103.215.80.184。

其对应的链接为：hxxp://103.215.80.184/163/index_real.htm?userid=20&urltype=hong。

一个163邮箱的钓鱼网站：

当直接访问该IP后，我们发现其跳转到的是一个伪造成QQ安全中心的钓鱼站点。

其中登陆功能也做的非常相似。

其在输入账号名密码之后：

会首先将账号，密码，还有用户当前IP地址，发送至服务器：

其中cname字段解码后显示为广东省广州市，目前暂未知其功能。

发送完账号密码等信息后，其会再去请求QQ的官方登陆接口，以便让受害者更有真实感。

下图便为请求正确的登陆请求后返回的密码错误的结果：

这一套攻击方式很容易绕过恶意流量检测系统，并且大大提升了恶意网站的存活率，也是目前黑产常用的手段。

关联分析

通过对IP进行扩展分析发现，下面有大量域名被注册，并均会重定向至该__QQ安全中心钓鱼站点__（截止报告编写前）。

可见其中的域名都已经标记成恶意域名。

除了上述攻击场景之外，我们基于多数据源进行关联分析，发现该攻击者的另一种攻击手法。

首先，其通过163邮箱发送 “法院通知单.htm”的邮件。

紧接着，在受害者收到邮件后，点击链接。

最后会弹出伪造成QQ空间的页面进行钓鱼攻击：http[:]//hjtr.mkh.bid/qzone/index.html。

另外，在后续的溯源分析过程中，我们发现存在一个疑似为攻击者的QQ号，并且疑似存在销赃行为。

总结

从本次攻击事件来看，该攻击者具有一定的域名资产，且从技术角度来看并不高级，但从社工角度来看，具有一定的诱饵性。

由于目前无法统计受害者的经济损失，并且新的钓鱼网站域名仍然在增加，因此我们披露了此次攻击，希望可以引起人们注意，鉴于攻击者会想尽一切办法利用人性弱点去发起攻击，因此我们建议您不要打开任何未知来源的电子邮件，尤其是不要打开附件，更不要点开附件里面携带的链接，如若点开了链接，也切莫不要随意输入账号密码，看清楚域名是否为真实网站域名后再输入。

奇安信威胁情报中心最后再次提醒各企业用户，加强员工的安全意识培训是企业信息安全建设中最重要的一环，如有需要，企业用户可以建设态势感知，完善资产管理及持续监控能力，并积极引入威胁情报，以尽可能防御此类攻击。

*本文作者：奇安信高级威胁研究团队，转载请注明来自FreeBuf.COM