利用 Wireshark 追踪网络流量中钓鱼攻击致数据泄露的全过程

攻击事件概述

在本次事件中，用户不慎点击了钓鱼链接，在毫无察觉的情况下，用户凭证被盗取，FTP 服务器被非法访问，大量文件泄露。这一系列恶意操作究竟是如何发生的呢？下面我们通过 Wireshark 对网络流量的分析来一探究竟。

利用 Wireshark 逐步调查攻击过程

1. 过滤 Web 流量（HTTP 和 TLS）

由于已知有人点击了钓鱼链接，首先在 Wireshark 中对发往未知域名的 HTTP 和 TLS 流量进行过滤，使用的过滤表达式为 “http || tls”。Wireshark 是一款网络抓包分析工具，它通过监听网络接口，捕获网络数据包，并根据用户设置的过滤规则筛选出特定的流量进行分析。在恶意脚本发起攻击前，获取目标的公共 IP 是常见的行为，这一发现为后续调查提供了重要线索。

2. 识别可疑域名（DNS 查询）

运行 DNS 查询，进一步挖掘可疑的域查找信息。结果显示，机器首先解析 “http://api.ipify.org”，这可能是攻击者在收集目标信息。

机器查询了 FTP 服务器 “http://ftp.ercolina-usa.com”，该服务器解析的 IP 地址为 192.254.225.136。对该域的重复 DNS 查询是一个危险信号，极有可能存在基于 FTP 的数据泄露或恶意软件下载尝试。为了进一步确认风险，通过 VirusTotal 对 “http://ftp.ercolina-usa.com” 域名进行检测，发现该域名已被多个第三方安全供应商标记为恶意和网络钓鱼。AgentTesla 是一种用.Net 设计的间谍软件，主要用于窃取个人数据、捕获屏幕截图、记录剪贴板和表单值，它在黑客社区中因易用性和技术支持而受到青睐，可能起源于土耳其。

3. 检查 FTP 身份验证和文件传输

为深入了解攻击情况，在 Wireshark 中过滤 FTP 身份验证尝试、命令和文件传输，过滤表达式为 “ftp || ftp-data”。FTP（File Transfer Protocol）是用于在网络上进行文件传输的协议，分为主动模式和被动模式。在被动模式下，客户端与服务器建立控制连接后，服务器会开启一个随机端口并告知客户端，客户端再与该端口建立数据连接进行文件传输。分析结果显示，受害者向 192.254.225.136 的 FTP 服务器上传了多个文件，这些文件包括与浏览器相关的文本文件、HTML 文件以及受密码保护的文件。并且，此次传输使用了 FTP 被动模式，这在数据泄露尝试中较为常见，种种迹象强烈暗示存在未经授权的数据泄露行为。

4. 验证直接 FTP 连接

通过搜索与 FTP 服务器的直接连接，确认凭证泄漏和文件传输情况。捕获的网络流量显示，存在一个 FTP 会话，用户使用凭据登录到 192.254.225.136 的 FTP 服务器，并上传了多个文件，这直接证明了存在未经授权的文件传输。

事件响应报告

1. 识别

根据报告的钓鱼链接点击事件以及出现的可疑网络活动，研究人员利用网络流量分析，逐步确定了此次攻击事件。入侵证据如下：

• Web 流量分析：受害机器与 “http://api.ipify.org” 建立 TLS 连接，攻击者借此采集目标指纹，这是恶意活动的典型特征。TLS（Transport Layer Security）协议用于在网络通信中提供安全的传输通道，握手过程中会交换客户端和服务器的相关信息，攻击者可以利用这些信息了解目标的网络环境等情况。

• DNS 查询分析：受害机器查询 “http://ftp.ercolina-usa.com”，且存在重复查询，表明可能存在基于 FTP 的泄露或恶意软件传播风险。DNS 查询记录中的查询频率、响应时间等参数都可以作为判断是否存在异常的依据，频繁查询且响应异常的域名需要重点关注。

• FTP 活动分析：受害机器尝试 FTP 身份验证，并向 192.254.225.136 上传多种文件，包括可能包含敏感信息的浏览器相关文本文件、HTML 文件和受密码保护的文件。这些文件类型可能包含用户的浏览记录、登录凭证等重要信息，一旦泄露将造成严重后果。

直接连接到 FTP 服务器：捕获的网络流量确认存在活动的 FTP 会话，用户登录并上传文件，证实了未经授权的数据传输。在 FTP 会话中，登录凭证以明文形式传输的风险较高，容易被攻击者截获。

2. 遏制

确认存在未经授权的活动后，立即采取了遏制措施，防止数据进一步丢失。

• 短期遏制行动：在防火墙和端点安全解决方案上阻止恶意 FTP 域 “http://ftp.ercolina-usa.com” 和 IP“192.254.225.136”；断开受影响机器与网络的连接；撤销与 FTP 会话相关的可能受损的凭证。防火墙通过设置访问控制规则，禁止特定的域名和 IP 地址的访问；端点安全解决方案则可以实时监控和阻止恶意活动在终端设备上的执行。

• 长期遏制行动：持续监控网络日志，查找与可疑域 / IP 的其他连接；隔离受影响的机器，以便进行分析。

3. 根除与恢复

在控制住局面后，采取措施消除威胁，恢复系统完整性。

• 根除行动：对受影响的机器进行深入的取证分析，检测是否存在恶意软件；检查系统日志中的持久机制，如注册表修改、计划任务等；重置凭据，并对 FTP 访问强制执行多重身份验证（MFA）。

• 恢复操作：在确认没有恶意软件持久性后，从干净的备份恢复系统；实施网络分段规则，限制未经授权的 FTP 连接；加强电子邮件安全过滤器，防止类似的网络钓鱼电子邮件再次入侵。

4. 经验教训和未来预防

此次攻击因用户点击钓鱼链接而得逞，导致了严重的凭证泄露和文件传输。从中可以总结出以下关键要点：

• 提高网络钓鱼意识：必须加强对用户的培训，使其能够准确识别网络钓鱼企图。

• 监控异常 DNS 请求：对未知域的频繁查询可能是受到威胁的信号，应及时进行分析和处理。

• 限制 FTP 使用：FTP 安全性较低，应尽量使用 SFTP 等更安全的替代方案。

• 启用网络异常检测：异常的出站 FTP 连接应触发警报，以便及时发现和处理潜在的安全威胁。

基于以上要点，建议采取以下可行的后续步骤：在组织范围内开展网络钓鱼意识培训；部署 SIEM 规则，检测未经授权的 FTP 连接；定期审核网络日志，及时发现异常活动。SIEM（Security Information and Event Management）系统可以收集和分析多个安全设备的日志信息，实现对网络安全事件的集中管理和分析。

在网络安全的战场上，我们必须时刻保持警惕。网络钓鱼手段层出不穷，一次不经意的点击都可能引发严重的后果。因此，在点击链接前一定要谨慎思考，同时加强对网络的监控，妥善保护好自己的凭证。只有这样，才能有效防范类似的网络攻击，保障网络安全。如果您也曾调查过类似的袭击事件，欢迎一起讨论分享经验，共同提升网络安全防护水平。

原文始发于微信公众号（Khan安全团队）：利用 Wireshark 追踪网络流量中钓鱼攻击致数据泄露的全过程