針對銀行釣魚事件的分析

相信不少人都有收到過釣魚郵件的經曆。然而，随着反垃圾郵件技術的更進，大多數這類郵件都會被系統自動屏蔽，而無法發送到使用者郵箱。但是，大多數并不代表全部。下面的這個例子就是個很好的說明。

這封郵件的主題是用巴西葡萄牙語寫的，主要内容是針對santander銀行“溢價”賬戶持有人的警告。不難看出，這是一封典型的釣魚郵件。

附件誘騙釣魚

對于普通使用者而言，多數收到這類郵件的人，都隻會通過簡單的發件人資訊來判斷郵件的可信度，或者直接将其拖放到垃圾箱。但是對于安全分析師而言，我們希望深入了解附件包含的内容和消息的真正來源。

通過檢視html源碼，我們可以看到一個非常簡單的圖檔連結：

hacked-image-code-499x650.png

　　打開該圖檔連結，是一個類似于santander銀行的頁面。如下：

portuguese-bank-phishing-screenshot-650x419.png

可以看到，該頁面的内容依舊是用巴西葡萄牙語寫的，并且頁面上所有的聯系電話，都為santander銀行的真實電話，整個頁面的布局也完全與銀行的溝通界面類似。需要注意的是，巴西銀行從來不會通過電子郵件的方式，向客戶發送任何安全警告。

頁面的内容是在警告使用者，他們的計算機上的安全子產品已過期，如果不及時更新到最新版本，銀行将向他們發出246.67brl的罰單（約$80.00）。

釣魚郵件來自何處？

一般情況下，攻擊者很少會使用自己的伺服器來發送釣魚郵件。他們通常會利用手中的“殭屍電腦”，來替自己發送。

攻擊者入侵或拿下一台伺服器，往往都有其目的性。例如竊取機密資料，實施網絡釣魚，黑帽seo等。當攻擊者成功入侵并拿下伺服器後，他們做的第一件事就是，建立一種方法來保持對該站點的持久控，制即便漏洞被修複。攻擊者通常會在網站安裝後門程式，根據我們2015年第三季度的“黑客入侵網站趨勢報告”顯示，72％遭到入侵的網站，都被安裝了至少一個的基于php後門，攻擊者通常都會安裝多個後門，來保證自己的通路權。

一旦後門被成功安裝，攻擊者将會進一步的對目标站點進行滲透，以保證利益的最大化。

郵件頭分析

我們可以通過對郵件頭的分析，得到一些有價值的資訊。

例如：

x-php-originating-script - 郵件發送所使用的腳本語言

message-id - 顯示托管腳本的網站

x-mailer - 郵件發送所使用的程式及版本

大夥可能注意到了，以上并沒有出現x-header的内容。這是因為x-header，并非一個有效郵件事務所必須的。這些類型的頭，都是由程式添加用以跟蹤和調試目的的。

從以上頭資訊中我們可以得知，原始消息發送自add-from-server.php這個腳本，并且使用的是phpmailer [1.73版本]。phpmailer 1.73是一個非常老的phpmailer版本，并且存在遠端代碼執行漏洞。

從message-id中我們可以找到釣魚郵件的來源網站（上圖馬賽克），下面我将嘗試使用sitecheck對該站點進行掃描檢測。

掃描原始站點

從掃描結果中我們驚訝的發現，該站點感染了垃圾seo（黑帽seo）：

sitecheck-results-spam-seo-650x636.png

并且…根據sitecheck顯示的網站詳細資訊标簽，我們可以看出該站點所使用的程式版本已經過時，并且存在安全漏洞。

sitecheck-website-details-650x467.png

我們不能确定，在網站上做垃圾seo和發送釣魚郵件的是否為同一攻擊者，因為在此之前釣魚攻擊者對于發送垃圾seo郵件的事并不知情。其實這也并不奇怪，一個網站同時遭受多個攻擊者攻擊的例子，在之前的文章我早有提及。

如何避免成為受害者？

現在讓我們把目光轉到之前發現的那個，用于發送消息的add-from-server.php檔案上。該檔案屬于add-from-server插件下的一個檔案，并且該插件存在csrf漏洞。攻擊者可以通過向管理者發送惡意構造的連結誘騙管理者點選，進而觸發該漏洞将後門上傳至目标站點。

網站所有者或其他管理者，都可能是被攻擊的對象。下面是我的一些安全建議：

不要輕易相信您收到的電子郵件，特别是附件。

停用浏覽器中的javascript。

不要使用辦公電腦，浏覽有風險的網站。

使用信譽良好的防毒軟體。

設定足夠安全和強大的密碼。

對賬戶盡可能的啟用雙因素認證。

本文轉自d1net（轉載）