以下內容撰寫于2014年6月26日上午,由于時間精力關系,當時只寫了一半,擱置了大半個月,后來在烏云的一個帖子中發現了一模一樣的大規模釣魚行為(帖子內容見底下)。
在烏云瘋狗、長短短等朋友的強烈建議下,將這篇文章整理了出來,由于過了大半個月,有些細節、邏輯已漸漸模糊、混淆,經過了一段時間的整理(可以看到文中穿插有不同時間的點評),進行了收尾完善。
這是一個精心策劃的、大規模的、針對國內企業OA系統的批量釣魚攻擊行為!
同時,這也是對國內企業郵箱、OA系統大規模釣魚攻擊的一個預警!
具體預警見之后西安零日網絡科技有限公司網絡安全專家核攻擊(核總)聯合烏云漏洞報告平臺發布的預警內容。
事件分析:
1、釣魚者事先在互聯網采集了大量企業、網站管理員、政府網站人員的郵箱地址。
2、釣魚者事先在互聯網掃描了大量存在弱口令的企業郵箱,進行大量釣魚郵件群發(可以不進入垃圾箱)。
3、釣魚者使用這些企業郵箱對采集到的郵箱地址進行大量釣魚郵件群發,內容基本一致。
4、釣魚者注冊了幾個域名,專門用作釣魚收信。
5、這是一起針對國內企業OA系統精心策劃的大規模釣魚攻擊事件。(APT攻擊?)
6、目前尚不明確釣魚者目的何在。(撒大網釣大魚的節奏?)
以上分析來自西安零日網絡科技有限公司網絡安全專家核攻擊(核總)。
核總早上收到一封釣魚郵件,實際上每天都能收到一大堆釣魚郵件,煩不勝煩,但是這封郵件比較有意思,跟隨核總簡單的分析一下它~
先來看看釣魚郵件內容:
郵件明文內容:
關于EMIS郵件服務升級的通知
1.根據相關用戶和員工反映:郵箱容量不夠日常使用,郵箱登錄使用存在卡頓的現象! 2.為保證郵箱系統的穩定運行和正常使用,現在需要對部分郵箱進行升級測試! 3.請收到此郵件的員工將個人信息發送到OA郵箱系統維護郵箱:[email protected]admin@seveice.cn.com
格式如下:
姓名:
職位:
員工編號:
登陸地址:
郵箱賬號:
郵箱密碼:
原始密碼:
電話和短號:
備注:本次升級檢測為期7-15天,為此給你帶了不便的地方,敬請理解。為保證順利升級,在接受到結束通知之前,請不要修改賬號密碼,謝謝配合!
保密聲明:本郵件及其所有附件僅發送給特定收件人。它們可能包含A企業的內部信息,秘密信息,專有信息或受到法律保護的其他信息。未經許可,任何人不得進行傳播、分發或復制。此聲明視為A企業的保密要求標識。若您誤收本郵件,請立即刪除或與郵件發送人聯系。
CONFIDENTIALITY NOTICE: This e-mail and any attachments are intended for the addressee and may contain information belonging to ***|\*| which is privileged, confidential, proprietary, or otherwise protected by law. Without permission, any dissemination, distribution, or copying is prohibited. This notice serves as marking as CONFIDENTIAL information of ***|\*|. If you have received this communication in error, please delete immediately or contact the original sender.
內容看起來挺一本正經的么,釣魚收集的信息挺全的么,括弧笑~
為了方便理解,我們從上往下按順序分析吧(注意紅框中的內容)。
[email protected],是一個以日期命名的、偽造的、不存在的域名。 2、**354@\**|\**|.com,百度了一下域名,是:\***|\***|
目測寡人和這個A企業木有任何關系,目測釣魚者看寡人網名是核攻擊,就弄了個A企業的郵箱增強真實性(也有可能只是為了用個正常域名,讓郵件不進入垃圾箱?)(2014-7-14 18:10:08 補充:證明這個猜想正確!)(不排除A企業域名已被搞下,見后邊的分析~)
繼續看~
[email protected],域名看起來挺正規的么,呵呵,先收集起來稍后分析,括弧笑~
4、紅框中的內容:“……本次升級檢測為期7-15天……在接受到結束通知之前,請不要修改賬號密碼,謝謝配合!”,請不要修改賬號密碼?Just 呵呵~你這后期滲透工作,動作也太慢了吧,居然需要7-15天,寡人一般最多一兩天就完事了~
5、最底下的紅框中的內容“……它們可能包含A企業的內部信息,秘密信息……” ,應該是郵件系統模板自帶或頁腳附加內容,制式化發送。
再來看看郵件原文(原始數據):
Received: from WebsenseEmailSecurity.com (unknown [219...227]) by bizmx6.qq.com (NewMx) with SMTP id for root@lcx.cc; Thu, 26 Jun 2014 07:40:26 +0800 X-QQ-SSF: 005000000000000000K000010420600 X-QQ-mid: bizmx6t1403739626t7xszqhfx X-QQ-CSender: 354@***|\*|.com X-QQ-FEAT: h0yizCkM5mMZ/tU/FDOZge7cwU1MZMYVkeLy/yM35Sk= Received: from GH-ML-05.snpdri.com (unknown [172.17.1.9]) by Websense Email Security Gateway with ESMTPS id D2940D569E7 for root@lcx.cc; Thu, 26 Jun 2014 07:40:24 +0800 (CST) Sender: <354@***|\*|.com> Message-ID: <[email protected]> From: service@2014-6-26.net To: root@lcx.cc Subject: =?utf-8?B?5YWz5LqOT0HnmbvpmYbljYfnuqfnmoTpgJrnn6U=?= Date: Thu, 26 Jun 2014 07:40:08 +0800 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="---|-=_NextPart_000_0957_01B53497.13B65610" X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2900.5512 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512 X-Originating-IP: [113.111.200.115]
---|---|=_NextPart_000_0957_01B53497.13B65610 Content-Type: text/plain; charset="utf-8" Content-Transfer-Encoding: base64
5YWz5LqORU1JU+mCruS7tuacjeWKoeWNh+e6p+eahOmAmuefpQ0KDQoxLuagueaNruebuOWFs+eU …… …… …… dD4NCjwvYm9keT4NCjwvaHRtbD4NCg==
---|---|=_NextPart_000_0957_01B53497.13B65610--
從郵件原文頭中能提取到很多有價值的信息,比如郵件發送者的IP地址:
219.***.***.227 中國北京市 電信
經過 IP 反查,確認這個 IP 地址為 “A企業” 郵件服務器的IP地址:mx.***|\*|.com(219...227),該 IP 地址目前可以 Ping 通~
(提示:A企業域名,www.***|\*|.com(219...225),以及視頻會議服務器:219...232,和郵件服務器都在一個c段的。)
也就是說,熊孩紙使用A企業的郵件服務器發送的,So,該服務器上會有登陸及發送日志,So~上門爆菊抓人~你懂的~
在官網看了看,發現了一點A企業網絡基本構架:
<a href='http://219.***.***.232/' class='bt_link' title='視頻會議' target=_blank></a>
<a href='http://www.******.com:8001/' class='bt_link' title='人才招聘' target=_blank></a>
<a href='https://mail.******.com/' class='bt_link' title='企業郵箱' target=_blank></a>
<a href='https://vpn.******.com/' class='bt_link' title='移動辦公' target=_blank></a>
219.***.***.225(www.******.com),官網
219.***.***.226(mail.******.com),企業郵箱
219.***.***.227(mx.******.com),郵件服務器
219.***.***.230(vpn.******.com),移動辦公
219.***.***.232(219.***.***.232),視頻會議
可以看到企業郵箱登陸域名,So,如果使用熊孩紙的賬戶“**354@******.com”登陸郵箱會如何呢?
于是核總經過前邊的A企業網絡基本構架摸排,順利進入A企業郵箱登陸頁面(mail.***|\*|.com):
并使用之前的發件賬號(**354@\***|\***|.co)與密碼(123456)(2014-7-14 18:12:59 補充:現在密碼已被修改!)成功登陸!
(旁白:登陸密碼是核總瞎猜的,人品爆發,是吧~)
(2014-7-14 19:10:14 補充:事后這也證明一個觀點:該犯罪團伙可能大規模掃描互聯網中的企業郵箱弱口令,并進行利用,進行大規模郵件群發!而且如上邊所述,郵件不會進入垃圾箱!)
發現這只是一個普通員工“張*”(可能已經離職,賬戶沒有注銷)的企業郵箱(2014-7-14 18:19:31 補充:企業郵箱是個大坑,國內各大廠商早該注意這個事情了!),而且密碼是弱口令,看了下使用日志、收/發件箱,已經很久沒用了~
https://mail.***|\*|.com/
賬戶:**354@\***|\***|.com 密碼:123456
賬戶資料:
張仝
帳戶信息 - 張*
一般信息
顯示名稱: 張* 電子郵件地址: **354@\***|\***|.com
聯系號碼
工作電話: 移動電話:
核總已使用將所有郵件導出。(見之后的附件資料下載)
同時核總在該員工郵箱內發現數以千計的已發送的大規模釣魚郵件!!!
經過核總細細查閱,發現這些都是收件人地址不存在或其它各種原因導致發送失敗的退信,或者收件人自動回復的郵件!
(旁白:核總已經所有郵件打包下載,為以后追蹤提供資料研究!)
數量足有上千封,這僅僅只是幾個小時內的接收量!
從時間間隔、退信比率以及自動回復比率計算,保守估計,該犯罪團伙已使用這個郵箱發送了至少上萬份釣魚郵件!
經過推測,該犯罪團伙所掌握的弱口令企業郵箱應該遠遠不止這一個,經過簡單計算,其發送數量應該十分巨大!頻率極高!
經過查閱退信郵件內容,發現都是發給各種網站管理員、各種企業員工、各類政府網站郵箱,種類繁多。
經過分析,推測該犯罪團伙的郵件發送地址名單,應該是從搜索引擎搜索某類關鍵詞批量采集的。
發送如此多的釣魚郵件,目的不得而知。
郵件分析,暫且告一段落,再看看這個釣魚郵件接收郵箱([email protected])是何方神圣。
國際慣例,看看釣魚郵件接收郵箱([email protected])的域名解析情況先~
C:>nslookup seveice.cn.com 服務器: UnKnown Address: 218.30.19.50
非權威應答: 名稱: seveice.cn.com Address: 103.243.25.92
C:>nslookup www.seveice.cn.com 服務器: UnKnown Address: 218.30.19.50
非權威應答: 名稱: www.seveice.cn.com Address: 103.243.25.92
IP地址:103.243.25.92,歸屬地:
1、香港特別行政區
2、香港, 上海游戲風云公司香港節點
3、亞太地區
這個 IP 地址挺特別的,在很多地方查詢都沒有歸屬地記錄。
再看看 ns 解析記錄:
C:\>nslookup -qt=ns seveice.cn.com
服務器: UnKnown
Address: 218.30.19.50
非權威應答:
seveice.cn.com nameserver = f1g1ns1.dnspod.net
seveice.cn.com nameserver = f1g1ns2.dnspod.net
f1g1ns2.dnspod.net internet address = 180.153.162.150
f1g1ns2.dnspod.net internet address = 182.140.167.188
f1g1ns2.dnspod.net internet address = 122.225.217.191
f1g1ns2.dnspod.net internet address = 112.90.143.29
f1g1ns1.dnspod.net internet address = 122.225.217.192
f1g1ns1.dnspod.net internet address = 183.60.52.217
f1g1ns1.dnspod.net internet address = 119.167.195.3
f1g1ns1.dnspod.net internet address = 182.140.167.166
可以看出,該域名解析權限托管在 DNSPod,想抓人,找騰訊!(DNSPod由吳洪聲創建,在2011年被騰訊全資收購~)
在看看 mx 郵件服務器解析記錄:
C:\>nslookup -qt=mx seveice.cn.com
服務器: UnKnown
Address: 218.30.19.50
非權威應答:
seveice.cn.com MX preference = 10, mail exchanger = mxdomain.qq.com
mxdomain.qq.com internet address = 183.60.62.12
mxdomain.qq.com internet address = 183.60.61.225
mxdomain.qq.com internet address = 183.62.125.200
mxdomain.qq.com internet address = 112.95.241.32
mxdomain.qq.com internet address = 112.90.142.55
可以看出,該域名使用的騰訊域名郵箱,還是那句話,想抓人,找騰訊!
再看看該域名歷史解析的IP地址記錄(IP反查網站接口 旁站查詢 IP查域名 域名歷史解析記錄查詢 IP地址查機房AS號):
Site: http://seveice.cn.com
Domain: seveice.cn.com
Netblock Owner: 26C,No.666,Gonghexin road,Shanghai,China
(上海共和新路666號中土大廈26C(上海鄂佳信息科技有限公司))
Nameserver: f1g1ns1.dnspod.net
IP address: 103.243.25.92
DNS admin: [email protected]
Hosting History
Netblock owner: 26C,No.666,Gonghexin road,Shanghai,China
(上海共和新路666號中土大廈26C(上海鄂佳信息科技有限公司))
IP address: 103.243.25.92
OS: Windows Server 2003
Web server: Netbox v3.0 201005
Last seen Refresh: 3-Jul-2014
Last seen Refresh: 26-Jun-2014
Last seen Refresh: 14-Jul-2014
可以看到該域名的解析記錄以及基本信息,如上所示。
Web Server 居然用的是 Netbox v3.0 201005?
直接訪問這個 IP 地址看看
疑似一個QQ釣魚站點?
再直接訪問這個域名看看:
發現是一個假冒 QQ 安全中心的釣魚站點。
(核總吐槽:居然還是用的 Asp + Netbox v3.0 201005,太業余了吧~)
最后看看該域名的 Whois 信息:
Domain ID:CNIC-DO2659321 Domain Name:SEVEICE.CN.COM Created On:2014-05-16T08:44:41.0Z Last Updated On:2014-05-28T04:00:35.0Z Expiration Date:2015-05-16T23:59:59.0Z Status:clientTransferProhibited Status:serverTransferProhibited
Registrant ID:TOD-43669078 Registrant Name:wu haitao Registrant Organization:wu haitao Registrant Street1:zhongqiangquanququa Registrant City:shizonggonghui Registrant State/Province:Henan Registrant Postal Code:808080 Registrant Country:CN Registrant Phone:+86.1083298850 Registrant Fax:+86.1083298850 Registrant Email:[email protected]
Admin ID:TOD-43669079 Admin Name:wu haitao Admin Organization:wu haitao Admin Street1:zhongqiangquanququa Admin City:shizonggonghui Admin State/Province:Henan Admin Postal Code:808080 Admin Country:CN Admin Phone:+86.1083298850 Admin Fax:+86.1083298850 Admin Email:[email protected]
Tech ID:TOD-43669080 Tech Name:wu haitao Tech Organization:wu haitao Tech Street1:zhongqiangquanququa Tech City:shizonggonghui Tech State/Province:Henan Tech Postal Code:808080 Tech Country:CN Tech Phone:+86.1083298850 Tech Fax:+86.1083298850 Tech Email:[email protected]
Billing ID:TOD-43669081 Billing Name:wu haitao Billing Organization:wu haitao Billing Street1:zhongqiangquanququa Billing City:shizonggonghui Billing State/Province:Henan Billing Postal Code:808080 Billing Country:CN Billing Phone:+86.1083298850 Billing Fax:+86.1083298850 Billing Email:[email protected]
Sponsoring Registrar ID:H3245827 Sponsoring Registrar IANA ID:697 Sponsoring Registrar Organization:ERANET INTERNATIONAL LIMITED Sponsoring Registrar Street1:02 7/F TRANS ASIA CENTRE 18 KIN HONG STREET KWAI CHUNG N.T Sponsoring Registrar City:Hongkong Sponsoring Registrar Postal Code:999077 Sponsoring Registrar Country:CN Sponsoring Registrar Phone:+85.235685366 Sponsoring Registrar Fax:+85.235637160 Sponsoring Registrar Website:http://www.now.cn/ Referral URL:http://www.now.cn/ WHOIS Server:whois.now.cn Name Server:F1G1NS1.DNSPOD.NET Name Server:F1G1NS2.DNSPOD.NET DNSSEC:Unsigned
Last update of WHOIS database: 2014-07-14T11:42:10.0Z <<<
This whois service is provided by CentralNic Ltd and only contains information pertaining to Internet domain names we have registered for our customers. By using this service you are agreeing (1) not to use any information presented here for any purpose other than determining ownership of domain names, (2) not to store or reproduce this data in any way, (3) not to use any high-volume, automated, electronic processes to obtain data from this service. Abuse of this service is monitored and actions in contravention of these terms will result in being permanently blacklisted. All data is (c) CentralNic Ltd https://www.centralnic.com/
可以提取出很多重要信息,得知該域名注冊者為:
域名:SEVEICE.CN.COM
創建時間:2014-05-16T08:44:41.0Z
最后更新:2014-05-28T04:00:35.0Z
過期時間:2015-05-16T23:59:59.0Z
姓名:wu haitao(吳海濤?)
組織:wu haitao(吳海濤?)
地址:zhongqiangquanququa(中槍全區去啊?)
城市:shizonggonghui(市總工會?)
州/省:Henan(河南)
郵政編碼:808080
國家:CN
電話:+86.1083298850(百度一下會有驚喜)
傳真:+86.1083298850(百度一下會有驚喜)
電子郵箱:[email protected](QQ:5777755,號碼不錯)
看來域名該注冊沒多久,剛剛滿一月多~
QQ:5777755,號碼不錯:
百度了一下:1083298850
搜索了一下 www.hk6h.net,發現是個香港六合彩賭博網站。
又在愛站進行了 Whois 反查,發現還注冊了另外一個域名:
(2014-7-14 20:27:02 補充:后來發現此人注冊了一大堆各種域名,各類黑產都做,感興趣的朋友可以自行搜索~)
域名:tccmtce.com 解析地址:142.0.135.52(美國)
名稱服務器:F1G1NS1.DNSPOD.NET 名稱服務器:F1G1NS2.DNSPOD.NET
創建時間:2014-05-17 T 16:17:38Z 過期時間:2015-05-17 T 16:17:38Z 更新時間:2014-06-02 T 10:51:35Z
城市:shizonggonghui 國家:CN 電子郵箱:[email protected] 傳真:86.1083298850 產品名稱:wu haitao(吳海濤) 組織:wu haitao(吳海濤) 電話:86.1083298850 郵編:808080 州/省:shizonggonghui 街道:zhongqiangquanququa
投訴聯系郵箱:[email protected] 投訴聯系電話:+86.75788047236 介紹網址:http://www.72e.net Whois服務:whois.72dns.com 注冊地:Foshan YiDong Network Co.LTD (佛山市屹東網絡有限公司)
可以看出來這個域名的注冊信息和之前的域名一摸一樣,注冊時間也十分相近~
后經證實,這個域名也是用來群發郵件的一個釣魚接收郵箱([email protected])(出自烏云的一個帖子,具體內容見底下)。
由于時間精力有限,暫且追蹤到這里,感興趣的朋友可以深挖。
以上分析來自西安零日網絡科技有限公司網絡安全專家核攻擊(核總)。
烏云發現的釣魚帖子內容:
相關下載:
2014電子商務安全技術峰會.rar (見其中的:十年防泄密的那些事兒-吳魯加.pdf)