文章目錄
- 前言
- 🚀 一、概述
- 🚀 二、事件分析
- 🌈 2.1 郵件投遞
- 🌈 2.2 實施詐騙
- 🚀 三、資産分析
- 🌈 3.1 資産特點
- 🌈 3.2 溯源結果
前言
微步情報局監測發現多起黑産組織針對國内手機使用者的郵件和短信詐騙行為,防範網絡釣魚大多靠員工自覺,需要有“火眼金睛”去甄别
🚀 一、概述
2022年5月25日,微網誌認證為“搜狐公司董事局主席兼CEO張朝陽”的“搜狐charles”使用者釋出資訊稱,因搜狐員工内部郵箱被盜,進而受到網絡釣魚攻擊,并表示目前技術部門及時介入,損失較小。
綜合目前資訊進行溯源追蹤,經微步線上情報局确認,這是Ganb黑産組織(微步線上内部命名)發起的又一次“網絡釣魚”攻擊。微步線上情報局早在去年就捕獲并持續追蹤一批灰黑産組織自2021年末至今以醫療保障金領取,公積金補貼等名義,通過大量群發釣魚郵件和短信進行釣魚詐騙。在2022年3月份左右,Ganb黑産組織攻擊愈發猖獗,對金融行業展開大規模釣魚攻擊,微步情報局已及時對其活動進行通報。微步情報局對其具體分析如下:
🚩該黑産組織針對多個行業生成多種對應話術模闆,通過郵件和短信大量群發進行廣撒網釣魚,使用的釣魚話術以“醫療保障金領取”,”工資補貼”為主,其最終目的為盜取受害者的銀行卡,手機号,銀行卡密碼,身份證号等資訊并對其進行詐騙。
🚩關聯發現,該黑産組織最早于2021年12月活躍至今,日漸猖獗。受害者涉及較多。
🚩該黑産組織關系模式屬于“一人開發,分銷多人”,即上遊系統供應商負責開發出相應管理平台架構,開發完成後對其下遊銷售系統賬号的使用權限,涉及多人。
🚩使用的資産具有較強的反偵察意識,相關域名、管理背景站點均隐藏資訊,并使用全流量DNS解析服務進行分發流量,最終導向黑客組織擁有的香港亞馬遜伺服器
🚩該黑産組織使用DGA技術生成大量域名做跳闆,保證其網站存活性同時具有迷惑作用,同時使用若幹域名做排程,最終指向該組織的真實資産。
🚩該黑産組織使用的資産及跳闆域名無明顯特征,資産選用沒有明顯規律且資産變化部署極為迅速,便于在域名遭到封禁時快速轉換資産綁定域名,保證其相關資産持續可通路。
🚀 二、事件分析
微步情報局監測發現多起黑産組織針對國内手機使用者的郵件和短信詐騙行為,其目的為收集受害者身份證、銀行卡号、手機号等多種隐私資訊并對其進行詐騙。其詳細詐騙手法分析如下:
🌈 2.1 郵件投遞
首先該黑産組織群發郵件至受害者郵箱或群發短信至受害者手機(以郵件發送為主),郵件正文謊稱”财務部發放工資補貼,掃碼即可領取”,以及“領取醫療保險金”等來吸引受害者興趣,該組織利用DGA域名生成技術,生成了大量用于做為跳闆的DGA域名,将其制成二維碼。受害者通過手機掃描二維碼來解析到對應的釣魚頁面。
🌈 2.2 實施詐騙
當用手機掃描二維碼後,進入對應釣魚頁面,值得一提的是,在跳轉的過程中,
會通過擷取請求流量中的特征(UserAgent字段和螢幕分辨率等資訊)進而分辨受害者的手機系統類别(安卓,蘋果)。檢測到通路裝置為電腦時會提示“請使用手機通路”,
此頁面主要作用為誘導受害者填寫銀行卡,姓名,手機号,身份證号等詳細資訊。
當受害者如實填寫資訊送出後,該釣魚頁面會進行彈框提示,通過背景實時自定義的提示彈框提示對受害者進行下一步詐騙。如“CVV錯誤,請重新輸入有效期和CVV”,“請輸入網銀密碼”等,
通過背景實時人工針對不同情況對受害者進行精準詐騙。
🚀 三、資産分析
🌈 3.1 資産特點
1. 收集确認到大量的該黑産組織後相關資産及關聯資産後,發現以下特征:
釣魚郵件中二維碼掃描後解析出的域名一般為自動生成的無規律域名(俗稱DGA域名),
生成算法未知,但從注冊域名長度一般為4-6位的随機數字或者字母組合,
配合run、xyz、pro、nuo等免費頂級域名組合使用,如下圖所示:
2. 為管理生成的大量DGA域名并保證域名解析到指定的詐騙界面,
該組織使用配置cname指向特定排程域名來對DGA域名進行分類排程。
DGA域名被通路後,首先會解析到配置cname指向的某一site*.ganb.run域名,
再由site*.ganb.run域名指向對應的解析ip,開始業務通信。原理如下圖所示:
3.根據其服務基本配置資訊可以發現以下特征:
a)用site*.ganb.run的公網域名作為CNAME排程域名,公網域名如下:
i.site01.ganb.run
ii.site02.ganb.run
iii.site03.ganb.run
iv.site04.ganb.run
v.site05.ganb.run
vi.site06.ganb.run
vii.site07.ganb.run
b)實際的域名通路方式,DNS解析如下圖所示,釣魚域名cname到site*.ganb.run,随後由site*.ganb.run排程解析到實際解析ip。
c)目前收集到*.ganb.run最終解析到的ip共有12個,包含國内外的各種雲主機。位址如下:
viii.103.123.161.205
ix.167.172.61.83
x.91.89.236.15
xi.163.21.236.11
xii.47.57.3.168
xiii.45.129.11.106
xiv.13.71.136.247
xv.119.28.66.157
xvi. 27.124.17.20
xvii.103.158.190.187
xviii. 47.242.105.202
xix.103.118.40.161
🌈 3.2 溯源結果
1.通過一定溯源分析手段,進入了該團夥背景總控位址,擷取到網站詳細資訊。如下圖所示:
通過分析發現,該平台共有8個使用者賬号,對應使用不同的釣魚手法及模闆進行釣魚。也是以推測該開發者該黑産組織關系模式屬于“一人開發,分銷多人”,即上遊系統供應商負責開發出相應管理平台架構,開發完成後對其下遊銷售系統賬号的使用權限。且根據賬号密碼特征分析,該系統開發者自身也使用了其中兩個賬号參與到了此次釣魚攻擊中。
2.通過使用賬号密碼登陸對應背景,在背景界面發現大量使用者資訊,粗略統計,總體受害者規模已達數千人,且背景送出受害者資料仍在不斷增加。
在其背景設定發現,其背景系統設定中,内置了一些釣魚頁面字段填寫開關,例如姓名開關,銀行卡号開關等。旨在指定手機受害者相關資訊。
同時通過功能判斷,其内置了共計8套釣魚模闆,且可自定義跳轉的彈窗文字。
具體模闆如下:
1.ETC模闆(已有在野利用)
2.新-ETC模闆(已有在野利用)
3.社保模闆(已有在野利用)
4.醫保模闆(已有在野利用)
5.某團模闆
6.工商模闆
7.某政模闆
8.某東-某政模闆
9.某魚模闆(已有在野利用)
部分釣魚郵件話術模闆如下:
部分釣魚網站模闆如下:
建議企業根據以上資訊内部自查是否有收到涉及相關主題、正文的郵件及短信,并及時對員工通報預警,提醒員工不要相信此類話術及網站。
3.通過其總控背景的域名管理發現,該黑産組織目前手中掌握有大量的DGA跳闆域名,共計831個,用以快速變換域名綁定部署,對抗域名封禁。
同時通過其域名添加時間記錄發現,相關域名最早添加于2021年12月26日,證明該組織至少于2021年12月左右就已經開始登場活躍。
4.通過以上多種資料次元分析,判斷該組織為一個典型的黑産組織,以公積金,醫療保障金等生活相關的話術進行大批量撒網釣魚,引導受害者進入其部署的詐騙網站。目前已有大量受害者。同時差別于以往黑産的自動化釣魚方式,該組織使用了“人工值守”方式提高釣魚成功率,即背景人員實時根據受害者填寫送出的資訊進行彈框提示,精準引導、詐騙受害者。
網絡釣魚攻擊通常都基于社會工程學,利用了員工的心理漏洞,繞過了企業的被動防禦技術/措施,進而導緻“中招”,這是網絡釣魚攻擊屢屢得手最關鍵的因素之一,這就形成了目前的尴尬局面,防範網絡釣魚大多靠員工自覺,需要有“火眼金睛”去甄别。
被動防禦難以奏效,這就要求我麼從一個新的角度,通過新的方法去主動防禦。比如微步線上的OneDNS,通過DNS與威脅情報相結合,在點選連結或“掃碼”跳轉到“釣魚網站”時,針對域名進行甄别,一旦發現是網絡釣魚等惡意域名時,就停止解析并傳回攔截頁面,提示通路有風險。
圖注:OneDNS攔截頁面,OneDNS在域名解析時,會與威脅情報庫比對,一旦發現是惡意域名,就會停止解析,并傳回攔截頁面
如果您也擔心或正在為網絡/郵件釣魚煩惱,那麼不妨試試OneDNS。