开发者社区> 不吃西红柿丶> 正文

看程序员如何安全放心上网~

简介: 看程序员如何安全放心上网~
+关注继续查看

正文


一、概述


今日,微博认证为“搜狐公司董事局主席兼 CEO 张朝阳”的“搜狐 charles”用户发布信息称,因搜狐员工内部邮箱被盗,进而受到网络钓鱼攻击,并表示目前技术部门及时介入,损失较小。


7.png


综合当前信息进行溯源追踪,经微步在线情报局确认,这是 Ganb 黑产组织(微步在线内部命名)发起的又一次“网络钓鱼”攻击。微步在线情报局早在去年就捕获并持续追踪一批灰黑产组织自 2021 年末至今以医疗保障金领取,公积金补贴等名义,通过大量群发钓鱼邮件和短信进行钓鱼诈骗。在 2022 年 3 月份左右,Ganb 黑产组织攻击愈发猖獗,对金融行业展开大规模钓鱼攻击,微步情报局已及时对其活动进行通报。微步情报局对其具体分析如下:


该黑产组织针对多个行业生成多种对应话术模板,通过邮件和短信大量群发进行广撒网钓鱼,使用的钓鱼话术以“医疗保障金领取”,”工资补贴”为主,其最终目的为盗取受害者的银行卡,手机号,银行卡密码,身份证号等信息并对其进行诈骗。


该黑产组织关系模式属于“一人开发,分销多人”,即上游系统供应商负责开发出相应管理平台框架,开发完成后对其下游销售系统账号的使用权限,涉及多人。


关联发现,该黑产组织最早于 2021 年 12 月活跃至今,日渐猖獗。受害者涉及较多。


该黑产组织使用 DGA 技术生成大量域名做跳板,保证其网站存活性同时具有迷惑作用,同时使用若干域名做调度,最终指向该组织的真实资产。


该黑产组织使用的资产及跳板域名无明显特征,资产选用没有明显规律且资产变化部署极为迅速,便于在域名遭到封禁时快速转换资产绑定域名,保证其相关资产持续可访问。


使用的资产具有较强的反侦察意识,相关域名、管理后台站点均隐藏信息,并使用全流量 DNS 解析服务进行分发流量,最终导向黑客组织拥有的香港亚马逊服务器。


二、资产分析


2.1 资产特点


1.为管理生成的大量 DGA 域名并保证域名解析到指定的诈骗界面,该组织使用配置 cname 指向特定调度域名来对 DGA 域名进行分类调度。DGA 域名被访问后,首先会解析到配置 cname 指向的某一 site*.ganb.run 域名,再由 site*.ganb.run 域名指向对应的解析 ip,开始业务通信。原理如下图所示:


4.png


根据其服务基本配置信息可以发现以下特征: 用 site*.ganb.run 的公网域名作为 CNAME 调度域名,公网域名如下:


site05.ganb.run


site06.ganb.run


site07.ganb.run 实际的域名访问方式,DNS 解析如下图所示,钓鱼域名 cname 到 site*.ganb.run,随后由 site*.ganb.run 调度解析到实际解析 ip。


目前收集到*.ganb.run 最终解析到的 ip 共有 12 个,包含国内外的各种云主机。地址如下:


119.28.66.157


27.124.17.20


103.158.190.187


47.242.105.202


103.118.40.161


2.收集确认到大量的该黑产组织后相关资产及关联资产后,发现以下特征:钓鱼邮件中二维码扫描后解析出的域名一般为自动生成的无规律域名(俗称 DGA 域名),生成算法未知,但从注册域名长度一般为 4-6 位的随机数字或者字母组合,配合 run、xyz、pro、nuo 等免费顶级域名组合使用,如下图所示:


1.png


2.2 溯源结果


1.通过一定溯源分析手段,进入了该团伙后台总控地址,获取到网站详细信息。如下图所示:


333.png


通过分析发现,该平台共有 8 个用户账号,对应使用不同的钓鱼手法及模板进行钓鱼。也因此推测该开发者该黑产组织关系模式属于“一人开发,分销多人”,即上游系统供应商负责开发出相应管理平台框架,开发完成后对其下游销售系统账号的使用权限。且根据账号密码特征分析,该系统开发者自身也使用了其中两个账号参与到了此次钓鱼攻击中。


2.通过使用账号密码登陆对应后台,在后台界面发现大量用户信息,粗略统计,总体受害者规模已达数千人,且后台提交受害者数据仍在不断增加。


3.png


在其后台设置发现,其后台系统设置中,内置了一些钓鱼页面字段填写开关,例如姓名开关,银行卡号开关等。旨在指定手机受害者相关信息。


同时通过功能判断,其内置了共计 8 套钓鱼模板,且可自定义跳转的弹窗文字。


在其后台设置发现,其后台系统设置中,内置了一些钓鱼页面字段填写开关,例如姓名开关,银行卡号开关等。旨在指定手机受害者相关信息。


具体模板如下:


ETC 模板(已有在野利用)


新-ETC 模板(已有在野利用)


社保模板(已有在野利用)


医保模板(已有在野利用)


某团模板


工商模板


某政模板


某东-某政模板


某鱼模板(已有在野利用) 部分钓鱼邮件话术模板如下:


7.png


建议企业根据以上信息内部自查是否有收到涉及相关主题、正文的邮件及短信,并及时对员工通报预警,提醒员工不要相信此类话术及网站。


3.通过以上多种数据维度分析,判断该组织为一个典型的黑产组织,以公积金,医疗保障金等生活相关的话术进行大批量撒网钓鱼,引导受害者进入其部署的诈骗网站。目前已有大量受害者。同时区别于以往黑产的自动化钓鱼方式,该组织使用了“人工值守”方式提高钓鱼成功率,即后台人员实时根据受害者填写提交的信息进行弹框提示,精准引导、诈骗受害者。


网络钓鱼攻击通常都基于社会工程学,利用了员工的心理漏洞,绕过了企业的被动防御技术/措施,从而导致“中招”,这是网络钓鱼攻击屡屡得手最关键的因素之一,这就形成了目前的尴尬局面,防范网络钓鱼大多靠员工自觉,需要有“火眼金睛”去甄别。


4.通过其总控后台的域名管理发现,该黑产组织目前手中掌握有大量的 DGA 跳板域名,共计 831 个,用以快速变换域名绑定部署,对抗域名封禁。


9.png

333.png


同时通过其域名添加时间记录发现,相关域名最早添加于 2021 年 12 月 26 日,证明该组织至少于 2021 年 12 月左右就已经开始登场活跃。


三、事件分析


微步情报局监测发现多起黑产组织针对国内手机用户的邮件和短信诈骗行为,其目的为收集受害者身份证、银行卡号、手机号等多种隐私信息并对其进行诈骗。


其详细诈骗手法分析如下:


3.1 邮件投递


首先该黑产组织群发邮件至受害者邮箱或群发短信至受害者手机(以邮件发送为主),邮件正文谎称”财务部发放工资补贴,扫码即可领取”,以及“领取医疗保险金”等来吸引受害者兴趣,该组织利用 DGA 域名生成技术,生成了大量用于做为跳板的 DGA 域名,将其制成二维码。受害者通过手机扫描二维码来解析到对应的钓鱼页面。


5.png


3.2 实施诈骗


当用手机扫描二维码后,进入对应钓鱼页面,值得一提的是,在跳转的过程中,会通过获取请求流量中的特征(UserAgent 字段和屏幕分辨率等信息)从而分辨受害者的手机系统类别(安卓,苹果)。


检测到访问设备为电脑时会提示“请使用手机访问”,此页面主要作用为诱导受害者填写银行卡,姓名,手机号,身份证号等详细信息。


5.png


当受害者如实填写信息提交后,该钓鱼页面会进行弹框提示,通过后台实时自定义的提示弹框提示对受害者进行下一步诈骗。如“CVV 错误,请重新输入有效期和 CVV”,“请输入网银密码”等,通过后台实时人工针对不同情况对受害者进行精准诈骗。


6.png


3.3 如何应对


被动防御难以奏效,这就要求我么从一个新的角度,通过新的方法去主动防御。比如微步在线的 OneDNS,通过 DNS 与威胁情报相结合,在点击链接或“扫码”跳转到“钓鱼网站”时,针对域名进行甄别,一旦发现是网络钓鱼等恶意域名时,就停止解析并返回拦截页面,提示访问有风险。


7.png


图注:OneDNS 拦截页面,OneDNS 在域名解析时,会与威胁情报库比对,一旦发现是恶意域名,就会停止解析,并返回拦截页面


OneDNS申请试用地址: https://page.ma.scrmtech.com/landing-page/index?pf_uid=15831_1728&id=11278&channel=28881


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
如何设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
18620 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
27764 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,大概有三种登录方式:
12984 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
21953 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
15321 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
19994 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
14862 0
+关注
不吃西红柿丶
CSDN内容合伙人丨全站Top 6、华为云享专家、HDZ核心组成员、信息技术智库公号作者、大数据&Python领域优质创作者
166
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载