揭秘“钓鱼及服务”

微步在线

3月份前后，微步在线的某个大型企业客户遭到大范围的邮件钓鱼，但是当场被监测到并自动拦截。

为了摸清背后是谁在搞事情，对这些钓鱼邮件进行分析，发现他们的作案手法是这样的：

群发邮件或者短信给目标受害者，谎称“财务部发放工资补贴，扫码即可领取”，以及“领取医疗保险金”来吸引受害者兴趣。

该黑产组织针对多个行业生成多种对应话术模板，通过邮件和短信大量群发进行广撒网钓鱼，使用的钓鱼话术以“医疗保障金领取”、”工资补贴”为主，其最终目的为盗取受害者的银行卡、手机号、银行卡密码、身份证号等信息并对其进行诈骗。

该黑产组织关系模式属于”一人开发，分销多人“，即上游系统供应商负责开发出相应管理平台框架，开发完成后对其下游销售系统账号的使用权限，涉及多人。

使用的资产具有较强的反侦察意识，相关域名、管理后台站点均隐藏信息，并使用全流量 DNS 解析服务进行分发流量，最终导向黑客组织拥有的香港亚马逊服务器。

该黑产组织使用 DGA 技术生成大量域名做跳板，保证其网站存活性同时具有迷惑作用，同时使用若干域名做调度，最终指向该组织的真实资产。

该黑产组织使用的资产及跳板域名无明显特征，资产选用没有明显规律且资产变化部署极为迅速，便于在域名遭到封禁时快速转换资产绑定域名，保证其相关资产持续可访问。

对这些二维码进行分析，想顺藤摸瓜，发现都是用DGA（域名自动生成技术）大批量生成的域名，用来当“跳板”。

收集确认到大量的该黑产组织后相关资产及关联资产后，发现以下特征：钓鱼邮件中二维码扫描后解析出的域名一般为自动生成的无规律域名(俗称DGA域名)，生成算法未知，但从注册域名长度一般为4-6位的随机数字或者字母组合，配合 run、xyz、pro、nuo 等免费顶级域名组合使用

为管理生成的大量 DGA 域名并保证域名解析到指定的诈骗界面，该组织使用配置 cname 指向特定调度域名来对 DGA 域名进行分类调度。DGA 域名被访问后，首先会解析到配置 cname 指向的某一 site*.ganb.run 域名，再由 site*.ganb.run 域名指向对应的解析 IP，开始业务通信。

用 site*.ganb.run 的公网域名作为 CNAME 调度域名，公网域名如下:

i.site01.ganb.run
ii.site02.ganb.run
iii.site03.ganb.run
iv.site04.ganb.run
v.site05.ganb.run
vi.site06.ganb.run
vii.site07.ganb.run

钓鱼域名 cname 到 site*.ganb.run，随后由 site*.ganb.run 调度解析到实际解析 IP。

目前收集到 *.ganb.run 最终解析到的 IP 共有12个，包含国内外的各种云主机。地址如下：

viii.103.123.161.205
ix.167.172.61.83
x.91.89.236.15
xi.163.21.236.11
xii.47.57.3.168
xiii.45.129.11.106
xiv.13.71.136.247
xv.119.28.66.157
xvi. 27.124.17.20
xvii.103.158.190.187
xviii. 47.242.105.202
xix.103.118.40.161

受害者扫码后，会进入对应的钓鱼页面。

钓鱼页面做得还挺细致，会通过获取请求流量中的特征（UserAgent字段和屏幕分辨率等信息）来分辨受害者的手机是安卓还是苹果，检测到访问设备是电脑时还会提示“请使用手机访问”）

当受害者如实填写信息，钓鱼页面会弹框提示“您输入信息有误”或者显示“升级中”，用来迷惑受害者，实际相关信息已经提交至后台，完成对受害者信息的钓取。

通过一定的计算机技术摸清到钓鱼页面背后的一个调度域名，又顺着摸到背后的服务器。

登进了该团伙后台总控系统。

分析发现，平台共有8个用户账号，对应使用不同的钓鱼手法。因此推测这个黑灰产组织关系模式属于”一人开发，分销多人“。

即：上游系统供应商开发出相应的工具和管理平台框架，再把账号权限卖给下游使用者，让他们去实施作案。

有人也管这种模式叫“钓鱼即服务”(phishing as a-service)模式，顺道提一嘴，很多网络勒索团伙也是这样做的，上游开发勒索工具，卖给下游去作案。

根据账号密码特征，发现这个系统的开发者也使用了两个账号参与到这次钓鱼攻击中——好家伙~不仅卖作案工具，自己也下场干活，真刑啊！

挨个儿登录他们的账号，发现后台有大量用户信息，粗略统计在1500～2000之间，而且仍在不断更新。

通过功能判断，这套钓鱼系统内置了8套钓鱼模版，而且还可以自定义跳转的弹窗文字。

1.ETC模板（已有在野利用）
2.新-ETC模板（已有在野利用）
3.社保模板（已有在野利用）
4.医保模板（已有在野利用）
5.某团模板
6.工商模板
7.某政模板
8.某东-某政模板
9.某鱼模板（已有在野利用）

部分钓鱼邮件话术模板如下：

部分钓鱼网站模板如下：

建议企业根据以上信息内部自查是否有收到涉及相关主题、正文的邮件及短信，并及时对员工通报预警，提醒员工不要相信此类话术及网站。

在后台发现一个域名管理界面，该黑灰产组织手里掌握着大量自动生成的域名（接近一千个），用来跳转，对抗域名封禁，封掉一个又换一个。

从域名添加时间来看，这个组织至少在2021年12月左右就开始登场活跃。但是当时并没有发现进一步对受害者进行诈骗的迹象，虽然发现他们有一个客服系统，但是假装成受害者给他们发消息，并没有得到回应。

总得来说，这个团伙还是挺专业的，使用的资产具有较强的反侦查意识，相关域名、管理后台站点都是隐藏信息，并且使用全流量DNS解析服务进行分发流量，最终导向黑客组织拥有的服务器。

根据调查分析经验，当时（3月份的时候）判断这个组织还在准备阶段，此次诈骗的主要目的是测试和完善平台功能，同时钓取一些个人信息”练练手“，后续再将受害者引导至刚刚搭建好的客服系统，由真人和其沟通，进行钱财诈骗。

谁能想到，仅仅过去一个多月，这个团伙就发起大量钓鱼攻击，目前已经出现大量受害者。

补充一点防范网络钓鱼的知识从安全设备层面，企业可以：

• • 使用安全邮件网关（过滤）

• • 用终端安全软件（终端防护）

从安全意识层面，员工应该：

• • 警惕邮件内容

• • 辨别发件人身份是否伪造（比如模仿单位领导）

• • 遇到索取个人信息时，用其他方式（比如办公通讯软件）确认。

• • 政企工作人员工作邮件建议使用政府自建邮箱，严禁使用境外邮箱和商用邮箱；

• • 为电子邮箱设置高强度密码，并设置每次登陆时必须进行帐号密码验证；

• • 不打开或转发来历不明的电子邮件及附件；进行网上交易时也要注意做到以下几点：

• • 核对网址

• • 选妥和保管好密码、做好交易记录。

• • 避免公用计算机使用网上交易系统；

• • 不通过搜索引擎上的网址或不明网站的链接进入。

• • 在网络交易前，对交易网站和交易对方的资质全面了解。

不过话说回来，人永远是最大的安全漏洞，还是建议企业用安全产品来防范钓鱼邮件，不要指望每个员工都有很强的网络安全意识。

附录 ganb IOC：

site.ganb.run
site01.ganb.run
site02.ganb.run
site03.ganb.run
site04.ganb.run
site05.ganb.run
site06.ganb.run
site07.ganb.run
new.ganb.run
remote.ganb.run
remote02.ganb.run
gunbgunb.run
103.123.161.205
167.172.61.83
91.89.236.15
163.21.236.11
47.57.3.168
45.129.11.106
13.71.136.247
119.28.66.157
27.124.17.20
103.158.190.187
47.242.105.202
103.118.40.161

原文始发于微信公众号（利刃信安）：​揭秘“钓鱼及服务”