Palo Alto Networks公布2018年第一季度网络钓鱼活动趋势-安全客

概要

网络钓鱼仍然是网络攻击最危险的威胁向量之一。尽管漏洞利用工具包总体呈下降趋势，正如我们在《Rig EK One Year Later: From Ransomware to Coin Miners and Information Stealers》一文中描述的那样，网络钓鱼本身并没有下降。Unit 42在最近已经开展了有关网络钓鱼攻击和钓鱼网址的研究。在这篇文章中，我们将展示在2018年第一季度（1月至3月）完成的一些有关网络钓鱼攻击，尤其是HTTPS钓鱼网址的统计结果。

钓鱼网址统计结果

在2018年第一季度，我们发现了来自262个用于网络钓鱼攻击的独特域名的4213个网址。平均而言，我们发现每一个域名服务于16个不同的钓鱼网址。下面的热点图显示了这262个域名的地理分布。

图1.网络钓鱼域名地理分布热点图

在这些网络钓鱼域名中，有超过一半托管在美国。排在其后的两个国家，托管的域名数量明显减少：德国28个，波兰13个。如图2所示。

图2.托管网钓鱼域名的国家/地区，以及对应的数量

我们还发现了几个托管在非洲和南美的网络钓鱼域名。

在4213个钓鱼网址中，有2066个使用一个通用的钓鱼页面模板，可以针对多个不同的公司或组织。例如，攻击者使用name 为“next1.php”和ID为 “chalbhai”的表单来瞄准美国银行的客户。我们还观察到，与之类似的模板瞄准了DropBox用户，并用于美国国家税局（IRS）的税务欺诈计划。

图3.chalbhai钓鱼网页源代码示例

除了通用的钓鱼页面模板之外，还有1404个网址包含瞄准Adobe用户的钓鱼页面，155个瞄准DropBox用户，18个瞄准Facebook用户，442个瞄准Google Docs用户，108个瞄准Google Drive用户以及20个瞄准Office 365用户。图4是一个柱形图，展示了按目标分类的钓鱼网址分布。从图中我们可以看到，使用通用钓鱼页面的网址约占总数的50%，其次是瞄准Adobe和Google帐户的网址，分别占33％和13％。除前三名外，还有一些瞄准Office 365和Facebook账户的网址。

图4.钓鱼网址分布

HTTPS钓鱼网址

HTTPS钓鱼网址更加难以识别。因此，我们在识别和分析它们上付出了更多的努力。在4213个钓鱼网址中，1010个来自46个唯一域名的HTTPS网址。平均而言，一个域名投放了21个不同的钓鱼网址。图5显示了HTTP和HTTPS在钓鱼网址和域名上的比较。

图5.HTTP和HTTPS比较

我们还调查了46个域名的证书颁发机构。我们发现“cPanel”为31个钓鱼域名颁发了证书，“COMODO”和“Let’s Encrypt”分别为6个不同的钓鱼域名颁发了证书，“Go Daddy Secure”颁发了一个，还有2个不再使用的域。如图6所示。

图6.证书颁发机构

Unit 42已经联系了所有托管机构和证书颁发机构。“Comodo”证书已经不再被Google信任，这里只有一个来自“Go Daddy Secure”。下图包含了完整的域名和证书列表。我们强烈建议将它们添加到可疑证书列表中。

图7.网络钓鱼域名证书颁发机构

网络钓鱼工具包

为了使网络钓鱼攻击更加有效，攻击者通常会将一个网站（旨在用于网络钓鱼攻击活动）的修改后的文件复制并打包到一个zip文件，并将其上传到多个受损网站。这个zip文件可以被认为是钓鱼工具包（phishing kit）的一部分。解压zip文件并部署钓鱼网站后，一些攻击者未能删除zip文件，使得研究人员可以公开访问该文件以分析其内容。在我们的研究中，我们收集了钓鱼zip文件样本。以下是一个钓鱼示例，目标瞄准的是Outlook/Office365帐户，如图8和图9所示。

图8.网络钓鱼工具包的目录

图9. 网络钓鱼工具包中CSS目录的内容

总结

在本文中，我们展示了一些来自2018年第一季度的钓鱼统计数据，展示了钓鱼攻击目标分布、通用的钓鱼模板和网络钓鱼工具包。特别是，我们展示了HTTPS钓鱼网址及其证书颁发机构的分布。HTTPS钓鱼网址是值得注意的，因为许多人认为HTTPS更加值得信任，但与之对应的，恶意链接也更加难以识别。

IOCs

Carrentalahmedabad[.]info	(dead)	(dead)
Sdlfkjttq[.]tk	(dead)	(dead)
ana-ero[.]bid	COMODO ECC Domain Validation Secure Server CA 2	sni50732.cloudflaressl[.]com
www.discoverdiva[.]com	COMODO ECC Domain Validation Secure Server CA 2	sni222615.cloudflaressl[.]com
biomedics.000webhostapp[.]com	COMODO RSA Domain Validation Secure Server CA	*.000webhostapp[.]com
clements.000webhostapp[.]com	COMODO RSA Domain Validation Secure Server CA	*.000webhostapp[.]com
offiicceeeedrop.000webhostapp[.]com	COMODO RSA Domain Validation Secure Server CA	*.000webhostapp[.]com
re-fb.000webhostapp[.]com	COMODO RSA Domain Validation Secure Server CA	*.000webhostapp[.]com
Allamericantrade[.]eu	cPanel, Inc. Certification Authority	Allamericantrade[.]eu
Allamericantrade[.]pl	cPanel, Inc. Certification Authority	Allamericantrade[.]pl
Azadtehsil[.]ml	cPanel, Inc. Certification Authority	Azadtehsil[.]ml
Bectronix[.]tech	cPanel, Inc. Certification Authority	Bectronix[.]tech
Clearwaterfiles[.]ml	cPanel, Inc. Certification Authority	Clearwaterfiles[.]ml
Clearwaterfiles[.]tk	cPanel, Inc. Certification Authority	Clearwaterfiles[.]tk
Cloudhsh[.]com	cPanel, Inc. Certification Authority	Cloudhsh[.]com
Cristaleriags[.]es	cPanel, Inc. Certification Authority	Cristaleriags[.]es
cristelito.com[.]pl	cPanel, Inc. Certification Authority	cristelito.com[.]pl
cuh-dubai[.]com	cPanel, Inc. Certification Authority	cuh-dubai[.]comcom
diabeticosaudavel.com[.]br	cPanel, Inc. Certification Authority	diabeticosaudavel.com[.]br
Dunkelbergerz[.]ga	cPanel, Inc. Certification Authority	Dunkelbergerz[.]ga
ea23travel[.]com	cPanel, Inc. Certification Authority	ea23travel[.]com
Filtrao[.]org	cPanel, Inc. Certification Authority	Filtrao[.]org
Footworkapp[.]ga	cPanel, Inc. Certification Authority	Footworkapp[.]ga
Hentoshphotography[.]com	cPanel, Inc. Certification Authority	Hentoshphotography[.]com
mail.allamericantrade[.]eu	cPanel, Inc. Certification Authority	Allamericantrade[.]eu
mail.cristelito.com[.]pl	cPanel, Inc. Certification Authority	cristelito.com[.]pl
mecanicoadomicilio.com[.]ve	cPanel, Inc. Certification Authority	mecanicoadomicilio.com[.]ve
mic-office[.]cf	cPanel, Inc. Certification Authority	mic-office[.]cf
mic-office[.]ga	cPanel, Inc. Certification Authority	mic-office[.]ga
richbtc4u[.]com	cPanel, Inc. Certification Authority	richbtc4u[.]com
Servicenterelectronic[.]com	cPanel, Inc. Certification Authority	Servicenterelectronic[.]com
Theaafiz[.]com	cPanel, Inc. Certification Authority	Theaafiz[.]com
vweds.usa[.]cc	cPanel, Inc. Certification Authority	vweds.usa[.]cccc
www.allamericantrade[.]eu	cPanel, Inc. Certification Authority	Allamericantrade[.]eu
www.cristelito.com[.]pl	cPanel, Inc. Certification Authority	cristelito.com[.]pl
www.manglammilk[.]com	cPanel, Inc. Certification Authority	Manglammilk[.]com
www.servicenterelectronic[.]com	cPanel, Inc. Certification Authority	Servicenterelectronic[.]com
www.upperdelawarescenicbyway[.]org	cPanel, Inc. Certification Authority	Upperdelawarescenicbyway[.]org
Zyaviv[.]com	cPanel, Inc. Certification Authority	Zyaviv[.]com
Getwealthi[.]com	Go Daddy Secure Certificate Authority – G2	Chasethepaper[.]com
Farmking[.]in	Let’s Encrypt Authority X3	Farmking[.]in
Cabinetdetectivi[.]ro	Let’s Encrypt Authority X3	Cabinetdetectivi[.]ro
Stiesdal[.]com	Let’s Encrypt Authority X3	Stiesdal[.]com
Stingereincendiu[.]ro	Let’s Encrypt Authority X3	Stingereincendiu[.]ro
usps.com.runningwild.co[.]ke	Let’s Encrypt Authority X3	usps.com.runningwild.co[.]ke
www.duannhatrangpearl.com[.]vn	Let’s Encrypt Authority X3	duannhatrangpearl.com[.]vn