2008年8月5日 星期二

結合多種手法的釣魚郵件

主旨:CNN.com Daily Top 10
哇!CNN服務真好,主動寄日報給我耶!要有國際觀先從這開始吧...
有沒有想過為啥CNN會主動寄郵件給你呢?你是不是應該收到呢?你應不應該開啟呢?
沒錯!這是釣魚郵件。它結合三大攻擊手法呢?
1.維俏維妙的釣魚郵件內容,可不像一般簡單的幾個字加上一個超連結(URL),以後釣魚郵件的餌會越來越精美。
2.釣魚郵件內的連結(URL)連往詐騙網站(Phishing Website),詐騙網站會給你看似正常的下載,如執行檔(.exe)...等。未來詐騙網站會越來越符合常理判斷,一不小心就...
3.詐騙網站(Phishing Website)還夾帶惡意攻擊碼,會攻擊瀏覽器漏洞,而且還會設法規避偵測。若是0-Day漏洞出現,只能願上帝保佑...



前面已經看過幾個詐騙案例,去分析郵件來源已經沒有太大意義了。瀏覽惡意連結的網站(hxxp://www.bardaue?.com.br/index2.html,注意瀏覽郵件連結是危險動作),瀏覽畫面如下:看起來是不是很正常的呢?跟你說沒有播放軟體,還主動下載給你耶!餌都送到你嘴邊啦,就等你咬。


它的攻擊碼在這裡(hxxp://www.bardaue?.com.br/1.html),隱藏的挺好的。還有好幾個規避偵測的技巧在其中。


有沒有好的工具可以分析一下相關連結呢?目前我知道的有四個,如果有人知道其他的網站有,小弟不吝賜教囉!

1.HackAlert:http://hackalert.armorize.com/
檢測"hxxp://www.bardaue?.com.br/index2.html"結果:

檢測"hxxp://www.bardaue?.com.br/1.html"結果:


2.LinkScanner:http://linkscanner.explabs.com/
檢測"hxxp://www.bardaue?.com.br/index2.html"結果:

檢測"hxxp://www.bardaue?.com.br/1.html"結果:


3.Dr.Web:http://online.us.drweb.com/
檢測"hxxp://www.bardaue?.com.br/index2.html"結果:

檢測"hxxp://www.bardaue?.com.br/1.html"結果:


4.Finjan:http://www.finjan.com/
檢測"hxxp://www.bardaue?.com.br/index2.html"結果:

檢測"hxxp://www.bardaue?.com.br/1.html"結果:


以上看完,希望大家對詐騙郵件能有些警覺性。這還不是「魚叉式網路詐騙(Spear phishing)」的郵件喔!想知道啥是「魚叉式網路詐騙」可以參考這裡的微軟網站說明、還有中文維基,這類郵件更難識別一旦被鎖定,得要練就一身好功夫才行。

7 則留言:

匿名 提到...

您好,google到您這兒了!我是因為CNN.com Daily Top 10的垃圾郵件相當多才找過來的,可惜您是分析,不是如何阻止這個垃圾郵件,當然我知道阻止這種垃圾郵件本來就不容易了!!

Crane_Ku 提到...

阻止這個垃圾郵件不是我這強調的部分,如果有SPAM系統可以加關鍵字的方式,但是,始終會有誤判漏判問題,所以我這強調的是教育使用者如何去判別有問題的郵件,強化使用者的觀念是很重要的一環

Unknown 提到...

我中招了,怎么杀毒??

Crane_Ku 提到...

發現是門藝術,殺毒是門學問...可以參考砲哥的網站:
http://rogerspeaking.com/2008/08/1150
執行之後,有下面的行為:
[Added process]
C:\WINDOWS\System32\CbEvtSvc.exe
C:\WINDOWS\system32\lphcl76j0eg03.exe
[Added service]
NAME: CbEvtSvc
DISPLAY: CbEvtSvc
FILE: C:\WINDOWS\System32\CbEvtSvc.exe -k netsvcs
將上述程序及服務移除
=====
再用線上掃毒軟體:
http://mylinkweb.blogspot.com/search/label/Free%20Online%20Virus%20Scan
檢查一下是否還有其他惡意程式。

匿名 提到...

您好 圖中網頁分析的工具是否能提供軟體名稱呢??謝謝

Crane_Ku 提到...

您指的應該是第三張圖的工具吧!它叫"FreShow.exe",可以參考下列文章:
http://www.avpclub.ddns.info/ss-xs/index.php/action_viewthread_tid_8149.html
作者:http://www.jimmyleo.com/

匿名 提到...

謝謝您的回應 我會研究看看^^