概要
网络钓鱼仍然是网络攻击最危险的威胁向量之一。尽管漏洞利用工具包总体呈下降趋势,正如我们在《Rig EK One Year Later: From Ransomware to Coin Miners and Information Stealers》一文中描述的那样,网络钓鱼本身并没有下降。Unit 42在最近已经开展了有关网络钓鱼攻击和钓鱼网址的研究。在这篇文章中,我们将展示在2018年第一季度(1月至3月)完成的一些有关网络钓鱼攻击,尤其是HTTPS钓鱼网址的统计结果。
钓鱼网址统计结果
在2018年第一季度,我们发现了来自262个用于网络钓鱼攻击的独特域名的4213个网址。平均而言,我们发现每一个域名服务于16个不同的钓鱼网址。下面的热点图显示了这262个域名的地理分布。
图1.网络钓鱼域名地理分布热点图
在这些网络钓鱼域名中,有超过一半托管在美国。排在其后的两个国家,托管的域名数量明显减少:德国28个,波兰13个。如图2所示。 
图2.托管网钓鱼域名的国家/地区,以及对应的数量
我们还发现了几个托管在非洲和南美的网络钓鱼域名。
在4213个钓鱼网址中,有2066个使用一个通用的钓鱼页面模板,可以针对多个不同的公司或组织。例如,攻击者使用name 为“next1.php”和ID为 “chalbhai”的表单来瞄准美国银行的客户。我们还观察到,与之类似的模板瞄准了DropBox用户,并用于美国国家税局(IRS)的税务欺诈计划。 
图3.chalbhai钓鱼网页源代码示例
除了通用的钓鱼页面模板之外,还有1404个网址包含瞄准Adobe用户的钓鱼页面,155个瞄准DropBox用户,18个瞄准Facebook用户,442个瞄准Google Docs用户,108个瞄准Google Drive用户以及20个瞄准Office 365用户。图4是一个柱形图,展示了按目标分类的钓鱼网址分布。从图中我们可以看到,使用通用钓鱼页面的网址约占总数的50%,其次是瞄准Adobe和Google帐户的网址,分别占33%和13%。除前三名外,还有一些瞄准Office 365和Facebook账户的网址。 
图4.钓鱼网址分布
HTTPS钓鱼网址
HTTPS钓鱼网址更加难以识别。因此,我们在识别和分析它们上付出了更多的努力。在4213个钓鱼网址中,1010个来自46个唯一域名的HTTPS网址。平均而言,一个域名投放了21个不同的钓鱼网址。图5显示了HTTP和HTTPS在钓鱼网址和域名上的比较。
图5.HTTP和HTTPS比较
我们还调查了46个域名的证书颁发机构。我们发现“cPanel”为31个钓鱼域名颁发了证书,“COMODO”和“Let’s Encrypt”分别为6个不同的钓鱼域名颁发了证书,“Go Daddy Secure”颁发了一个,还有2个不再使用的域。如图6所示。 
图6.证书颁发机构
Unit 42已经联系了所有托管机构和证书颁发机构。“Comodo”证书已经不再被Google信任,这里只有一个来自“Go Daddy Secure”。下图包含了完整的域名和证书列表。我们强烈建议将它们添加到可疑证书列表中。
图7.网络钓鱼域名证书颁发机构
网络钓鱼工具包
为了使网络钓鱼攻击更加有效,攻击者通常会将一个网站(旨在用于网络钓鱼攻击活动)的修改后的文件复制并打包到一个zip文件,并将其上传到多个受损网站。这个zip文件可以被认为是钓鱼工具包(phishing kit)的一部分。解压zip文件并部署钓鱼网站后,一些攻击者未能删除zip文件,使得研究人员可以公开访问该文件以分析其内容。在我们的研究中,我们收集了钓鱼zip文件样本。以下是一个钓鱼示例,目标瞄准的是Outlook/Office365帐户,如图8和图9所示。 
图8.网络钓鱼工具包的目录
图9. 网络钓鱼工具包中CSS目录的内容
总结
在本文中,我们展示了一些来自2018年第一季度的钓鱼统计数据,展示了钓鱼攻击目标分布、通用的钓鱼模板和网络钓鱼工具包。特别是,我们展示了HTTPS钓鱼网址及其证书颁发机构的分布。HTTPS钓鱼网址是值得注意的,因为许多人认为HTTPS更加值得信任,但与之对应的,恶意链接也更加难以识别。
IOCs
|
Carrentalahmedabad[.]info |
(dead) |
(dead) |
|
Sdlfkjttq[.]tk |
(dead) |
(dead) |
|
ana-ero[.]bid |
COMODO ECC Domain Validation Secure Server CA 2 |
sni50732.cloudflaressl[.]com |
|
www.discoverdiva[.]com |
COMODO ECC Domain Validation Secure Server CA 2 |
sni222615.cloudflaressl[.]com |
|
biomedics.000webhostapp[.]com |
COMODO RSA Domain Validation Secure Server CA |
*.000webhostapp[.]com |
|
clements.000webhostapp[.]com |
COMODO RSA Domain Validation Secure Server CA |
*.000webhostapp[.]com |
|
offiicceeeedrop.000webhostapp[.]com |
COMODO RSA Domain Validation Secure Server CA |
*.000webhostapp[.]com |
|
re-fb.000webhostapp[.]com |
COMODO RSA Domain Validation Secure Server CA |
*.000webhostapp[.]com |
|
Allamericantrade[.]eu |
cPanel, Inc. Certification Authority |
Allamericantrade[.]eu |
|
Allamericantrade[.]pl |
cPanel, Inc. Certification Authority |
Allamericantrade[.]pl |
|
Azadtehsil[.]ml |
cPanel, Inc. Certification Authority |
Azadtehsil[.]ml |
|
Bectronix[.]tech |
cPanel, Inc. Certification Authority |
Bectronix[.]tech |
|
Clearwaterfiles[.]ml |
cPanel, Inc. Certification Authority |
Clearwaterfiles[.]ml |
|
Clearwaterfiles[.]tk |
cPanel, Inc. Certification Authority |
Clearwaterfiles[.]tk |
|
Cloudhsh[.]com |
cPanel, Inc. Certification Authority |
Cloudhsh[.]com |
|
Cristaleriags[.]es |
cPanel, Inc. Certification Authority |
Cristaleriags[.]es |
|
cristelito.com[.]pl |
cPanel, Inc. Certification Authority |
cristelito.com[.]pl |
|
cuh-dubai[.]com |
cPanel, Inc. Certification Authority |
cuh-dubai[.]comcom |
|
diabeticosaudavel.com[.]br |
cPanel, Inc. Certification Authority |
diabeticosaudavel.com[.]br |
|
Dunkelbergerz[.]ga |
cPanel, Inc. Certification Authority |
Dunkelbergerz[.]ga |
|
ea23travel[.]com |
cPanel, Inc. Certification Authority |
ea23travel[.]com |
|
Filtrao[.]org |
cPanel, Inc. Certification Authority |
Filtrao[.]org |
|
Footworkapp[.]ga |
cPanel, Inc. Certification Authority |
Footworkapp[.]ga |
|
Hentoshphotography[.]com |
cPanel, Inc. Certification Authority |
Hentoshphotography[.]com |
|
mail.allamericantrade[.]eu |
cPanel, Inc. Certification Authority |
Allamericantrade[.]eu |
|
mail.cristelito.com[.]pl |
cPanel, Inc. Certification Authority |
cristelito.com[.]pl |
|
mecanicoadomicilio.com[.]ve |
cPanel, Inc. Certification Authority |
mecanicoadomicilio.com[.]ve |
|
mic-office[.]cf |
cPanel, Inc. Certification Authority |
mic-office[.]cf |
|
mic-office[.]ga |
cPanel, Inc. Certification Authority |
mic-office[.]ga |
|
richbtc4u[.]com |
cPanel, Inc. Certification Authority |
richbtc4u[.]com |
|
Servicenterelectronic[.]com |
cPanel, Inc. Certification Authority |
Servicenterelectronic[.]com |
|
Theaafiz[.]com |
cPanel, Inc. Certification Authority |
Theaafiz[.]com |
|
vweds.usa[.]cc |
cPanel, Inc. Certification Authority |
vweds.usa[.]cccc |
|
www.allamericantrade[.]eu |
cPanel, Inc. Certification Authority |
Allamericantrade[.]eu |
|
www.cristelito.com[.]pl |
cPanel, Inc. Certification Authority |
cristelito.com[.]pl |
|
www.manglammilk[.]com |
cPanel, Inc. Certification Authority |
Manglammilk[.]com |
|
www.servicenterelectronic[.]com |
cPanel, Inc. Certification Authority |
Servicenterelectronic[.]com |
|
www.upperdelawarescenicbyway[.]org |
cPanel, Inc. Certification Authority |
Upperdelawarescenicbyway[.]org |
|
Zyaviv[.]com |
cPanel, Inc. Certification Authority |
Zyaviv[.]com |
|
Getwealthi[.]com |
Go Daddy Secure Certificate Authority – G2 |
Chasethepaper[.]com |
|
Farmking[.]in |
Let’s Encrypt Authority X3 |
Farmking[.]in |
|
Cabinetdetectivi[.]ro |
Let’s Encrypt Authority X3 |
Cabinetdetectivi[.]ro |
|
Stiesdal[.]com |
Let’s Encrypt Authority X3 |
Stiesdal[.]com |
|
Stingereincendiu[.]ro |
Let’s Encrypt Authority X3 |
Stingereincendiu[.]ro |
|
usps.com.runningwild.co[.]ke |
Let’s Encrypt Authority X3 |
usps.com.runningwild.co[.]ke |
|
www.duannhatrangpearl.com[.]vn |
Let’s Encrypt Authority X3 |
duannhatrangpearl.com[.]vn |
审核人:yiwang 编辑:边边