从一个钓鱼文档到伪造QQ钓鱼站点的攻击者过程追溯

栏目: 编程工具 · 发布时间: 5年前

内容简介:近日,奇安信高级威胁研究团队在日常威胁狩猎过程中,捕获到一个专门为中文使用者设计的诱饵RTF文档。该文档内仅含有一个跳转链接,通过基于多数据源的深度关联分析后,我们发现这起攻击背后实际上是一个专业伪造163和QQ相关网站进行钓鱼的黑产从业人员。本次攻击所使用的诱饵为:各单位违法乱纪通告人员名单.rtf。从诱饵文档名称分析,该名称的文档在党政邮箱内经常出现,且针对此类通告事件从政人员基本都会点击观看,因此会大大提升上当受骗的几率。

前言

近日,奇安信高级威胁研究团队在日常威胁狩猎过程中,捕获到一个专门为中文使用者设计的诱饵RTF文档。该文档内仅含有一个跳转链接,通过基于多数据源的深度关联分析后,我们发现这起攻击背后实际上是一个专业伪造163和QQ相关网站进行钓鱼的黑产从业人员。

攻击手段分析

本次攻击所使用的诱饵为:各单位违法乱纪通告人员名单.rtf。

从诱饵文档名称分析,该名称的文档在党政邮箱内经常出现,且针对此类通告事件从政人员基本都会点击观看,因此会大大提升上当受骗的几率。

该样本于 2019年3月11日14点01分,在一台用户名为 Xab 的默认使用中文语言的windows计算机上,通过WPS进行创建 。

从一个钓鱼文档到伪造QQ钓鱼站点的攻击者过程追溯

并且由于样本中仅嵌有一个链接跳转,因此杀毒软件肯定是不会对其进行报警处理。

从一个钓鱼文档到伪造QQ钓鱼站点的攻击者过程追溯

而打开诱饵可以发现其内容大致为一张模糊的带公章的图片和一条提示点击跳转链接的标识语,以便诱骗打开文档的人点击此处更新的链接,从而进行下一步攻击行为。

可见下图点击蓝色处链接即可跳转至钓鱼网站:hxxp://skiad.xj400.cn/163?userid=20&type=hong。

从一个钓鱼文档到伪造QQ钓鱼站点的攻击者过程追溯

而此时,该域名指向的IP地址已经失效,但经过关联分析后,我们发现其实际指向IP为103.215.80.184。

其对应的链接为:hxxp://103.215.80.184/163/index_real.htm?userid=20&urltype=hong。

一个163邮箱的钓鱼网站:

从一个钓鱼文档到伪造QQ钓鱼站点的攻击者过程追溯

当直接访问该IP后,我们发现其跳转到的是一个伪造成QQ安全中心的钓鱼站点。

从一个钓鱼文档到伪造QQ钓鱼站点的攻击者过程追溯

其中登陆功能也做的非常相似。

其在输入账号名密码之后:

从一个钓鱼文档到伪造QQ钓鱼站点的攻击者过程追溯

会首先将账号,密码,还有用户当前IP地址,发送至服务器:

从一个钓鱼文档到伪造QQ钓鱼站点的攻击者过程追溯

其中cname字段解码后显示为广东省广州市,目前暂未知其功能。

从一个钓鱼文档到伪造QQ钓鱼站点的攻击者过程追溯

发送完账号密码等信息后,其会再去请求QQ的官方登陆接口,以便让受害者更有真实感。

从一个钓鱼文档到伪造QQ钓鱼站点的攻击者过程追溯

下图便为请求正确的登陆请求后返回的密码错误的结果:

从一个钓鱼文档到伪造QQ钓鱼站点的攻击者过程追溯

这一套攻击方式很容易绕过恶意流量检测系统,并且大大提升了恶意网站的存活率,也是目前黑产常用的手段。

关联分析

通过对IP进行扩展分析发现,下面有大量域名被注册,并均会重定向至该__QQ安全中心钓鱼站点__(截止报告编写前)。

从一个钓鱼文档到伪造QQ钓鱼站点的攻击者过程追溯

可见其中的域名都已经标记成恶意域名。

从一个钓鱼文档到伪造QQ钓鱼站点的攻击者过程追溯

除了上述攻击场景之外,我们基于多数据源进行关联分析,发现该攻击者的另一种攻击手法。

首先,其通过163邮箱发送 “法院通知单.htm”的邮件。

从一个钓鱼文档到伪造QQ钓鱼站点的攻击者过程追溯

紧接着,在受害者收到邮件后,点击链接。

最后会弹出伪造成QQ空间的页面进行钓鱼攻击:http[:]//hjtr.mkh.bid/qzone/index.html。

从一个钓鱼文档到伪造QQ钓鱼站点的攻击者过程追溯

另外,在后续的溯源分析过程中,我们发现存在一个疑似为攻击者的QQ号,并且疑似存在销赃行为。

总结

从本次攻击事件来看,该攻击者具有一定的域名资产,且从技术角度来看并不高级,但从社工角度来看,具有一定的诱饵性。

由于目前无法统计受害者的经济损失,并且新的钓鱼网站域名仍然在增加,因此我们披露了此次攻击,希望可以引起人们注意,鉴于攻击者会想尽一切办法利用人性弱点去发起攻击,因此我们建议您不要打开任何未知来源的电子邮件,尤其是不要打开附件,更不要点开附件里面携带的链接,如若点开了链接,也切莫不要随意输入账号密码,看清楚域名是否为真实网站域名后再输入。

奇安信威胁情报中心最后再次提醒各企业用户,加强员工的安全意识培训是企业信息安全建设中最重要的一环,如有需要,企业用户可以建设态势感知,完善资产管理及持续监控能力,并积极引入威胁情报,以尽可能防御此类攻击。

*本文作者:奇安信高级威胁研究团队,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

爆品手记

爆品手记

金错刀 / 中国友谊出版公司 / 2016-9-20 / 39.80

互联网时代,一切都被颠覆。 B2B、B2C、O2O等商业模式的建立,对传统企业构成了巨大冲击。人们的生意往来逐渐从线下转移到了线上,传统的定位理论逐渐失效,依靠爆品引爆市场才是王道;传统企业经营多年的渠道营销模式正遭遇前所未有的阻力,网上商城正成为众多商家角逐血拼的主要战场。 在互联网的黑暗森林里,一切传统的商业模式统统失效,一场依靠爆品点燃市场、引爆市场、占据市场的营销革命正悄然兴起......一起来看看 《爆品手记》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码