简介

网络犯罪无处不在。每天的新闻都充斥着不断的报道，详细描述了某种复杂的攻击，这些攻击是由隐形人实施的黑客他们远在千里之外。网络攻击是如此普遍，据一些估计，它们确实发生过每39秒．我们听说了一个随机的公司乐动体育官网下载大规模数据泄露花点时间想一下我们或我们认识的人是否是被入侵公司的客户，然后继续我们的一天。乐动体育官网下载在很多方面，我们已经成为麻木了改变现状。然而，有些类型的攻击会让我们从集体麻木中清醒过来。这些类型的攻击让人感觉是针对个人的，因为它们确实是。

钓鱼就是这样一种攻击。它会让人对自己的选择产生怀疑，比如“我们怎么没能识别出假登录?”“我们在其他地方用过这个用户名和密码吗?”，以及“为什么我们一直没有使用密码管理器?”在这些问题上加上经济损失的幽灵，就会产生一种相互指责的感觉非常私人的．尽管我们通常在孤立的情况下经历这些感受，但研究表明，我们不会在沉默中受苦。一个美国研究去年进行的一项调查显示，24%的调查对象承认曾遭受网络钓鱼攻击，十分之六的人无法区分假冒的亚马逊登录名和真实的登录名。

实施网络钓鱼攻击的恶意行为者是谁?他们想要什么?他们的基础设施是什么样的?他们从哪里得到他们的工具，他们采用什么策略?DomainTools安全研究人员通过分析恶意基础设施、商品恶意软件和针对一家大型银行机构的新兴网络钓鱼活动的工具使用情况，提供了一些答案。我们的努力在很小程度上得益于发现的及时性，在很大程度上得益于OPSEC骗子的糟糕做法。

虚假银行登录

乐购银行是英国主要的金融服务提供商。该银行由英国跨国食品杂货和一般商品零售商乐购(Tesco PLC)全资拥有，拥有530万客户账户150亿英镑在客户资产方面。乐购银行还提供家庭和汽车保险，进一步扩大了其在公共领域的影响力。

11月18日，DomainTools安全研究人员注意到一个可疑域名的注册，www.tesco-banklogin。com．这个域名引起了我们的兴趣，不仅是因为注册人使用了可疑的命名惯例，还因为我们能够在它创建的同一天捕捉到域名注册。因此，我们认为这可能是一个绝佳的机会来分析一个钓鱼网站的推出近实时。

域名注册商是亿睿国际有限公司，总部位于香港。该网站由LLC服务器诉arendy，总部设在俄罗斯莫斯科。它利用了90天免费SSL证书由总部设在英国伦敦和奥地利维也纳的ZeroSSL提供。许多证书颁发机构现在免费提供SSL证书90天，以努力与之竞争让我们加密的免费产品。值得注意的是，DomainTools最初分配了一个相对较高的风险配置分数81分(99分)域名注册后数小时内。这强调了DomainTools机器学习系统在执行威胁识别时的准确性、及时性和专业性。将DomainTools集成到他们的SIEM或SOAR平台的客户将从这一及时的认可中受益。

这个网站创建后不久是什么样子的?DomainTools研究人员能够在网站成型时监测和分析它。幸运的是，恶意行为者未能保护网页存根，使网站在构建时开放。正如目录的创建日期所示，攻击者没有浪费任何时间来为他们即将到来的活动进行设置。

代码分析

我们希望通过分析攻击者使用的工具来了解他们的目标。因此，我们安全地镜像了来自站点的所有内容，以便进行脱机分析。一看tescolive。zip透露，它是一个前端软件phishkit由Bootstrap、PHP、Angular、Javascript和JQuery编写的商用恶意软件组成，这些恶意软件是专门为这群银行骗子修改的。PHP代码是包装和小型化，然后编码base64，以混淆它的真实目的。

值得注意的是我们发现这一发现的运气。由于opsec异常糟糕，我们在代码中发现了伪代码，显示它是在11月9日编辑的，在该域名注册前九天，专门用于针对Tesco。密码是在暗网上从一个已知的.onion网站。它的作者是一个或几个被称为康泰斯团队，并贴心地为客户签名，DennisBergkamp[在]jabbr.org，他似乎是一个足球/足球粉丝而他在把这封邮件发布到www.tesco-banklogin。com域。

<？php /* KTS团队制作的页面;http://xxxxxxxxxxxxxxxx.onion/shop/;编辑DennisBergkamp@jabbr.org on Mon 9 Nov 2020 14:21:22 EET */ ?- > 

康泰斯团队提供了一个man.txt文件传递给客户，为我们的代码和函数分析提供了有用的指导。本页上的拼写和语法错误可能表明作者的母语不是英语。

关键字;Zip = Zip文件你已经收到从我;Fake =克隆网页的父文件夹=包含所有文件的文件夹，解压后;CFG = file“config. CFG”。Json“位于'父文件夹';uadmin link =连接到uadmin面板，用于接收来自'fake'的日志;Step =单步HTML表单和输入/字段集合，用于客户端请求信息;777 =权限形成特定的文件夹/文件，意味着xrw-xrw-xrw对所有可能的用户;uadmin =通用管理面板令牌页。=可称为(活动页面|拦截页面)。 It is type of the page which can be controlled over admin panel in real time. -After unzip 'zip' you will see 'parent folder'. Name for this folder can be changed to anything you like but it can not be removed and 'fake' MUST stay inside 'patent folder'. After all in url you can only have unique folders name. good!: domen.com/parentfolder/..../login domen.com/anyname/..../login domen.com/sgi/..../login not good!: domen.com/name/name/..../login domen.com/domen/..../login domen.com/com/..../login domen.com/dome/..../login -To connect 'fake' to 'uadmin' you have to edit 'home.php' file , OR download new 'home.php' file from already live uAdmin (no edit needed). If you choose to edit existing 'home.php' then open 'home.php' and find line with "http(s)://{domain|ip}/uadmin/gate.php" and change {domain|ip} to your domain name or ip, where uAdmin located. -Set '777' for 'parent folder' -R -To access page over browser you have to open 'parent folder' https://fakedomain.com/*/{parent_folder_name}/ where {parent_folder_name} is name of your 'parent folder' -If page is 'token page' than after connect to 'uadmin' -go to token page on uadmin -find connected page with green dot -press O-Panel on its row -press Operations settings -press Advanced -empty pop up text box -insert json-formated commands in the bottom of this text file -press "save" on pop up box -press "save" on current page -go back to o-panel after this you will be able to see commands set for current page

分析了man.txt文件中，我们可以看到客户以a的形式接收他们的订单. zip文件，该文件包含创建单步前端登录页面的代码，该页面模拟合法机构的前端。骗子在“令牌页面”上设置假前端登录屏幕时，会利用子目录命名约定。在本例中，令牌页URL为www.tesco-banklogin com/veri/(。)．代码的作者提供了一种将假令牌页面连接到客户控制的管理控制面板的方法，称为“uadmin或“通用管理面板”。收集的凭据或令牌保留在SQLite数据库中。管理面板允许用户自定义消息，这些消息可以通过使用JSON格式的命令在假登录页面上呈现给受害者。下图显示了向潜在受害者展示的乐购登录页面。

这个假页面与乐购的真实页面几乎没有区别https://identity.tescobank。com．毫无防备的受害者可能会通过伪装成来自乐购银行的合法通信的钓鱼电子邮件或短信向虚假域名URL发送。通常，这些电子邮件包含一个消息受害者的帐户可能有问题，只能通过所提供的链接登录来纠正。

进一步的代码分析表明，作者包含了一个自动通知模块，该模块通过吱吱喳喳地叫只要受害者输入了他们的身份信息。这一点很重要，因为这种类型的攻击对时间很敏感。更严重的是，DomainTools通过BurpSuite代理测试了该网站的网络服务器响应代码，发现该网站还没有将我们重定向到乐购的合法网站或任何其他网站。目前还不清楚该功能是否应该在以后添加。缺乏重定向(在凭证被盗后)和未能提供合法的登录体验可能会提示受害者，该网站是假的，可能会引起象征性的警报。这强调了通过Jabber及时通知的必要性。在收到通知后，攻击者可以尝试利用被盗的凭据通过乐购银行登录受害者的真实账户门户网站，建立银行转账，并抽走其账户的资金。注意到这一点是有用的双因素认证可能有助于减少这种形式的凭据重用。

证书盗窃并不是这个非什基特人带来的唯一威胁。我们发现了一个寻求安装自定义的代码工件APK这是受害者设备上的永久后门。

var php_js ={"设备":{“isMobile”:假的,“isTablet”:假的,“isiOS”:假的,“isAndroid”:假},“变”:[],“液化天然气”:“en”,“bb_link”:identity.tescobank.com“https: \ / \ / \ / pf \ / adapter2adapter.ping”,“链接”:“tesco.uk”、“apk_file”:“test.com http: \ / \ / \ / file.apk”、“加密”:0,“文本”:“{}”、“查询”:“,”回家 ":"..\/..\/..\/ home”、“relative_root ":"..\/..\/..\/"," parent_folders”:“a1b2c3 \ / 266 c5260bde130cbd5f7f5ac3e469769 \ /登录\ /”、“fake_base”:“登录\ / "}

根据phishkit的作者，APK能够执行屏幕抓取、键盘记录和数据泄露。APK作为“安全应用程序更新”或“银行安全证书”提供给受害者。到APK源的链接在一个单独的配置文件中定义。不幸的是，在站点被封锁之前，攻击者从未定义过真正的源位置。bb_link是实际银行网站的URL。apk_file为APK源的位置。

{"lng": "en"， "bb_link": "https://identity.tescobank.com/pf/adapter2adapter.ping"， "link": "tesco. "英国”、“apk_file”:“http://test.com/file.apk”、“加密”:0}

值得注意的是，我们还设计了一些其他功能，以减轻反钓鱼工作。我们确定了. php用于的文件快速通功能。

//获取真正的ip为Fat flux函数get_ip_address(){foreach(数组('HTTP_CLIENT_IP'， 'HTTP_X_FORWARDED_FOR'， 'HTTP_X_FORWARDED'， ' http_cluster_client_ip '，' HTTP_FORWARDED_FOR'， 'HTTP_FORWARDED'， 'REMOTE_ADDR')作为$key) {if (array_key_exists($key， $_SERVER) === true){foreach(爆炸('，'，$_SERVER[$key])作为$ip){$ip = trim($ip);//只是为了安全if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) !== false){返回$ip;}}}}};$_SERVER['REMOTE_ADDR']= get_ip_address();

粗略地说，快通量的工作原理快速骑自行车通过骗子用来托管钓鱼网站的IP地址数据库。这对于恶意行为者很有用，因为这种策略可以绕过使用动态IP地址阻塞作为主要保护手段的防御。不幸的是，这个.db文件从未使用IP地址数组填充。

除了快速流量之外，我们还检测到了其他反钓鱼措施。这是一个屏蔽列表文件的形式，用于阻止搜索引擎爬虫对虚假网站的内容进行编目。除了搜索爬虫，该代码还采用了逃避机制，以躲避安全研究公司使用的扫描仪，这些公司专门发现和检测钓鱼网站。这个封锁列表代码，更新为11月9日的活动和适当的命名antibot.php，使用了多种检测方法。其中包括一个总计300万个独立地址的通配符IPv4地址数组、url内字符串检测和用户代理识别，以检测潜在威胁。符合禁止条件的远程地址、字符串或用户代理导致会话死，标准的输出消息提供404响应代码。下面的代码使用预定义的IP地址数组来识别它认为是威胁的IP地址以及关键字字符串识别。

foreach($bannedIP as $ip) {if(preg_match('/' .)美元的ip。' / ', $ _SERVER [' REMOTE_ADDR '])){头(“HTTP / 1.0 404 Not Found”);die("
404 Not found您所请求的页面无法找到。");}}} $hostname = gethostbyaddr($_SERVER['REMOTE_ADDR']);$blocked_words =数组("above"，"谷歌"，"softlayer"，"netcraft"，"amazonaws"，"cyveillance"，"phishtank"，"dreamhost"，"netpilot"，"calyxinstitute"，"tor-exit"，);foreach($blocked_words as $word) {if (substr_count($hostname， $word) < 0) {header("HTTP/1.0 404 Not Found");die("
404 Not Found
您所请求的页面无法找到。");

适当地，我们应该注意在代码中发现的一个突出的工件，kaktys_encode．这里使用这个函数部分是为了混淆HTML。

document . write (_kaktys_encode(“< ?PHP echo base64_encode($html) ?>");> < /脚本

我们发现了唯一的一项，kaktys，贯穿整个代码库。就网络钓鱼套件而言，这并不是什么新鲜事，但我们确实想看看我们能在多大程度上领先，因为我们有一个独特的机会，由于糟糕的opsecuadmin的作者。

暗网商店

将我们的注意力转向暗网上的钓鱼工具包作者的网站，我们立即呈现出这个突出的弹出窗口。

句柄kaktys1010属于一个商品恶意软件的创造者，他的名声是上述“uadmin网络钓鱼骗子的控制面板。Kaktys1010于2017年2月首次出现在商业领域，现在在暗网上经营着一家广泛的“商店”康泰斯团队．看一看康泰斯团队页面提供了一个更清晰的图像恶意软件的功能。

康泰斯的团队产品包括Web和android注入目标是90家主要在欧洲和南美开展业务的金融机构。这包括基于桌面浏览器的web注入，专注于android的移动应用程序web注入(其中一些会删除APK文件)，以及针对波兰银行的未分类web注入。客户可以分类康泰斯团队产品分为“标签”、“类别”和“国家”。

人们可以通过使用网站设计者提供的方便的排序功能来收集最感兴趣的银行机构。下一页描述了按受欢迎程度排序的产品。

目前人气排名第二的ING集团被列为KTS团队的最新成员。然而，我们确实希望目录在晚些时候与乐购银行网站注入更新。

网络注射的价格从60美元到500美元不等。最昂贵的网络注入目标是加拿大皇家银行。我们最初认为可以将phishkit的复杂性与要价相匹配，但是将phishkit添加到购物车中并结账会提示访问者登录利用(。)这是一个以俄语为主要使用者的半独家地下论坛，在这里访客可能会与KTS Team进行谈判。

在设计钓鱼工具包时投入了大量的精力。下面的图片显示了呈现给受害者的移动屏幕和后端uadmin控制面板。手机提示要求受害者下载“安全应用程序更新”，这实际上是一个恶意的Android APK。当与uadmin在控制面板中，骗子会得到受害者会话、凭据和用户代理的完整图片。

将基础设施映射到商品产品

对KTS团队的网络钓鱼工具包所针对的金融机构进行分类，有助于我们了解当前与tesco相关的网络钓鱼活动的程度。从www.tesco-banklogin。com域，我们能够匹配域，我们发现通过DomainTools Iris引导枢轴与一些金融机构列出在KTS团队的目录。

使用主机IP地址的引导轴心显示了其他32个域名，它们的命名约定非常可疑。值得注意的是，所有相关域名的风险评级都为100，这表明它们已经进入了屏蔽列表。值得注意的是,Halifax-login.com, halifax-personal.com, halifax-在线login.com, tsb-banking.com, hsbc-heldesk.com,hsbc-net.com都是有用的银行钓鱼域名。

将我们的焦点转向汇丰银行，我们注意到KTS团队移动注入登录与汇丰实际网站上使用的登录非常相似。

当我们将其与我们通过引导枢轴发现的汇丰相关域名之一配对时，例如hsbc-heldesk.com,hsbc-net.com在美国，很容易看出毫无戒心的用户是如何上当受骗的。

结论

我们可以看到，通过广泛的基础设施、复杂的平台、反安全工具的使用，以及社会工程的巧妙应用，网络钓鱼骗局不会消失。虽然这个phishkit和其他提到的移动注入显然是商品恶意软件，需要低水平的复杂程度来实现和利用，但我们仍然发现在最大程度上追捕它们的价值，就像我们在这篇博客中所做的那样。在DomainTools，我们将继续拉出并分析这些有趣的钓鱼工具包。我们将绘制其特征和作者能力的轨迹，以进一步了解威胁景观地形，并改善全球安全团队的防御。使用这些代码分析和基础设施映射步骤可以帮助团队了解针对其公司基础设施的网络钓鱼活动的最大程度。

没有……的慷慨协助，这项工作是不可能完成的马修Pahl，前DomainTools安全研究员和萨利赫太空他是DomainTools前高级安全工程师，他的专业知识在分析此活动中至关重要。