雙實驗室

2017年10月31日

網路釣魚是一門生意，生意興隆。

為了提高網路釣魚活動的效率，攻擊者通常會通過將網站資源捆綁到網路釣魚工具包中，在多個主機上重用其網路釣魚網站。這些套件上載到（通常是受損的）主機，選取套件中的檔案，並發送指向新釣魚網站的釣魚電子郵件。然而，有時攻擊者會變得懶惰，把網路釣魚工具拋在腦後，允許包括安全研究人員在內的任何人下載它們。

在今天發佈的一篇科技論文中，Duo實驗室詳細介紹了一個月的實驗結果，在這個實驗中，我們蒐索並分析了3200多個獨特的釣魚工具。除了科技論文外，我們還公開了我們為追跡釣魚工具而編寫的程式碼。

我們發現的

按一下此處可查看更大的。

在一個月的時間裏，我們使用來自Phishtank和OpenPhish的社區驅動的URL提要，在66000個URL中發現了3200個獨特的釣魚工具包。我們的分析總結如下：

• 我們發現許多網路釣魚工具是為了通過使用.htaccess檔案和PHP腳本來逃避檢測而設計的，這些檔案和PHP腳本基於源IP地址範圍、HTTP引用程式或用戶代理頭等内容封锁來自威脅情報公司的連接。

我們發現許多網路釣魚工具是為了通過使用.htaccess檔案和PHP腳本來逃避檢測而設計的，這些檔案和PHP腳本基於源IP地址範圍、HTTP引用程式或用戶代理頭等内容封锁來自威脅情報公司的連接。

.htaccess

• 我們分析了每個仿冒工具包中的電子郵寄地址，指出憑據的發送位置以及最初創建仿冒工具包的人員。我們在多個網路釣魚活動中跟踪單個攻擊者，其中包括一個參與者，其電子郵寄地址在超過115個獨特的網路釣魚工具包中找到。

我們分析了每個仿冒工具包中的電子郵寄地址，指出憑據的發送位置以及最初創建仿冒工具包的人員。我們在多個網路釣魚活動中跟踪單個攻擊者，其中包括一個參與者，其電子郵寄地址在超過115個獨特的網路釣魚工具包中找到。

• 我們在多個主機上跟踪了獨特的網路釣魚工具包。我們發現在多達30個不同主機上可以看到多個工具包，這表明參與者使用同一工具包啟動了多個釣魚活動。

我們在多個主機上跟踪了獨特的網路釣魚工具包。我們發現在多達30個不同主機上可以看到多個工具包，這表明參與者使用同一工具包啟動了多個釣魚活動。

• 我們發現了200多個後門釣魚工具。這表明，向其他犯罪分子出售或分發這些網路釣魚工具的攻擊者正在主動後門，讓自己能够訪問受攻擊的主機。很明顯小偷之間沒有榮譽可言！

我們發現了200多個後門釣魚工具。這表明，向其他犯罪分子出售或分發這些網路釣魚工具的攻擊者正在主動後門，讓自己能够訪問受攻擊的主機。很明顯小偷之間沒有榮譽可言！

• 我們的分析顯示，釣魚套件最常見於運行Wordpress的受損網站，16%的時間是在通過HTTPS服務的網站上發現的。

我們的分析顯示，釣魚套件最常見於運行Wordpress的受損網站，16%的時間是在通過HTTPS服務的網站上發現的。

拿到報紙

這篇博文只觸及了我們所做研究的表面。我們的科技論文fish in a Barrel:Hunting and analysis Phishing Kits at Scale提供了實驗的全部細節，展示了我們如何在Scale中發現、存儲和分析釣魚套件。

我們的研究目的是讓我們瞭解攻擊者使用哪些方法和工具來提高他們的操作效率。作為這些結果的一部分，我們是開源的程式碼，我們用來收集釣魚工具包。你可以在Github上找到程式碼。

結論

作為一名安全從業人員，您可以使用我們在科技檔案中描述的相同科技來跟踪針對您的組織的網路釣魚工具包，並確定哪些資訊正在被竊取以及資訊將被發送到何處。

我們要感謝OpenDNS（Phishtank的運營商）和OpenPhish，感謝他們出色的社區驅動的feed。如果沒有他們為安全行業提供的優質服務，這項工作是不可能的。

需要注意的是，我們分析的所有仿冒工具包都旨在竊取憑據以供以後重用。為了减少被盜憑證的影響，防禦者可以做的最好的事情之一是為組織使用的每個面向外部的應用程序設定多因素身份驗證（MFA）。此外，您還可以使用免費的Duo Insight網路釣魚工具測試您的組織是否受到網路釣魚攻擊。

新的安全消息。就在你的收件箱裏。

訂閱每月一封電子郵件，內容包括博客文章、研究、資訊圖表、視頻、電子書、安全行業新聞，所有內容均由Duo手工製作。你可以隨時退訂。

謝謝你的報名！