網(wǎng)絡釣魚仍然是當今企業(yè)面臨的最大和最不確定的威脅之一，這兩年RiskIQ安全組織處理了大量與網(wǎng)絡攻擊有關的網(wǎng)絡釣魚事件。利用自己開發(fā)的網(wǎng)絡安全檢測軟件，RiskIQ安全組織已從各種渠道收集到了可能是釣魚的網(wǎng)址，在利用網(wǎng)頁抓取工具對這些網(wǎng)址進行檢查后，RiskIQ安全組織還以實際用戶的身份進入到這些網(wǎng)址進行了真實檢測，最后通過RiskIQ安全組織的機器學習技術分析出最后的結果，以對每個檢測到的網(wǎng)絡釣魚進行分類識別。

那些釣魚網(wǎng)頁的基礎架構通常采用兩種形式：自維護的自定義基礎結構和被濫用或攻擊的屬于其他人的基礎結構。以下是被濫用或被攻擊的屬于其他人的基礎結構的電子郵件的釣魚頁面的實例。

另外，RiskIQ安全組織在網(wǎng)上查看一些資料，找到了這個釣魚工具的其他例子:

• llyyuia.com/sendmail/index2.htm
• brazilconsul.cc/teste/drop/index2.htm
• alpinenatureexperience.com.au/wp-admin/js/prank/solorous/sendmail/index2.htm
• www.corneliacafe.com/css/sendmail/index2.htm
• www.genest.com.mx/sendmail/index2.htm
• infonetcomm.com/css/sendmail/index2.htm
• www.ciembolivia.com/js/sendmail/index2.htm
• www.webkeyit.com/sendmail/index2.htm
• eduquersonenfant.com/wp-admin/css/sendmail/index2.htm
• folhadojalapao.com.br/wp-admin/css/sendmail/index2.htm
• pdqmei.com/wp-admin/css/sendmail/index2.htm
• www.pdqmei.com/wp-admin/css/sendmail/index2.htm
• reisu.com/sendmail/index2.htm

正如你所看到的，這些釣魚示例的名稱中似乎有一個主題，每個URL都包含“sendmail”。另外，每個釣魚網(wǎng)站的設計中都非常相似。

當RiskIQ安全組織探索這些頁面時，首先檢查主機是否受到攻擊（大多數(shù)是這樣的），如果是的話，找出攻擊發(fā)生的位置。當然有一些明顯的例子，比如URL中有'/ wp-admin /'路徑，這表明它可能是一個WordPress樣本。在上述釣魚攻擊中，當從其URL中刪除尾隨文件名'index2.htm'時，某些主機會顯示出釣魚工具包的結構：

可以有三個文件-index2.htm，sub.php和rop.php，RiskIQ安全組織可以在以上給出的鏈接中找到對'rop.php'的引用。釣魚頁面的來源顯示，它是通過POST請求將被盜的憑證發(fā)送到此腳本的。

由RiskIQ網(wǎng)絡爬蟲工具捕獲的被盜憑證

至于sub.php，RiskIQ安全組織目前還對它的功能一無所知。通過挖掘這個釣魚工具包的更多實例，RiskIQ安全組織發(fā)現(xiàn)了另一個目錄索引，只是這次釣魚工具包的實例已經消失，但是，攻擊者在惡意軟件安裝后就離開了。

網(wǎng)絡釣魚釣魚工具包的安裝

RiskIQ安全組織在打開disruptive.zip文件并查看后，發(fā)現(xiàn)它包含RiskIQ安全組織在上面目錄列表中找到的所有三個文件，以下就是RiskIQ安全組織找到的rop.php的源代碼。

RiskIQ安全組織從而可以發(fā)現(xiàn)大多數(shù)釣魚工具使用的盜取證書的一般方法——發(fā)送一封帶有憑證的電子郵件。RiskIQ安全組織找到了犯罪分子的電子郵件地址parkerfred2.0@mail.ru。RiskIQ安全組織還可以看到sub.php的用法，其中用戶在發(fā)出憑證后被重定向，其中包含以下內容。

該腳本會將受害者重定向到Microsoft Windows網(wǎng)站上的特定頁面，通過挖掘這個釣魚工具包的更多實例，RiskIQ安全組織發(fā)現(xiàn)了另一個zip文件的情況。

包含zip文件的Phish kit結構

在這個zip文件中，RiskIQ安全組織還看到了rop.php中的一個電子郵件地址，它與RiskIQ安全組織的數(shù)據(jù)有一些有趣的聯(lián)系。RiskIQ安全組織發(fā)現(xiàn)的電子郵件地址是langmesserpp@gmail.com，你可以在PassiveTotal的WHOIS搜索中找到鏈接到單個域的信息。

langmesserpp@gmail.com的WHOIS

該網(wǎng)站本身就有不少IP的信息，但目前都已經失效。有趣的是，這個域名與一個名為'McClean Law Group'的佛羅里達州律師事務所的域名mccleanlawgroup.com非常相似。不過，除了名稱相似之外，RiskIQ安全組織沒有發(fā)現(xiàn)這兩個網(wǎng)站的其他相似內容。