millets
|
分享:
x0
|
網路釣魚的三種方法
研究報告:網路釣魚的三種方法 來源:TechTarget
大多數人以為網路釣魚除了是那些旨在欺騙人們提供銀行賬戶號碼的假冒的電子郵件之外就是竊取人們的身份信息。然而,據蜜網項目組&蜜網研究聯盟(Honeynet Project & Research Alliance)最近發表的研究報告顯示,網路釣魚要比前面說的更複雜和更可怕。
這個聯盟在新的研究報告中警告說,網路釣魚者正在使用惡意的網路服務器、連接埠重新定向和成功率相當高的蜜網誘騙用戶上鉤。他們的努力比人們最初想像的更周密而且更有組織性。在許多情況下,他們與其他的釣魚團伙協調作業並且同時採用多種手段。
蜜網研究人員Arthur Clune在談到這篇報告中的一個攻擊的例子時說,這種釣魚網站的建立速度是非常快的。所有這些網站都是事先準備好的。建立這種網站的人顯然已經做好了準備,因為在這個網站還沒有完全建好之前我們就開始看到有網路通信了。包括掃瞄有漏洞的網路服務器等活動在內所有的過程都是高度自動化的。這一切都表明,攻擊者是認真的、做好準備的並且要盡可能多地尋找有漏洞的主機。
Clune說,這類網站的質量和濫發郵件的做法正在改善。這類網站使用更規範的英語並且嵌入了質量更好的圖片,使這類網站在外表上更像是真正的網站。另一位研究人員David Watson說,隨著用戶越來越瞭解網路釣魚以及網路釣魚的手段,攻擊者不得不改進他們的方法。他說,受到這種攻擊的人數之多使他感到意外。
Watson說,在我們調查的許多詐騙事件中,我們吃驚地發現,用戶確實會訪問那些假冒的釣魚網站。教育和安全使用互聯網的信息顯然沒有普及到最終用戶。
這項研究是使用蜜罐進行的。所謂蜜罐就是故意設置的沒有保護措施的電腦。當受到攻擊時,研究人員可以對這些攻擊進行研究,更好地瞭解攻擊使用的策略。在本案中,研究人員密切觀察了釣魚者成功地使用的三種不同的攻擊手段:
攻破網路服務器
第一種方法是攻破有安全漏洞的服務器並且安裝惡意的網頁內容。在一次典型的釣魚攻擊中,攻擊者使用了如下方法:
·掃瞄有安全漏洞的服務器;
·攻破有漏洞的服務器並且安裝一個工具集或者口令保護後門;
·通過加密的後門進入那台被攻破的服務器;
·下載事先製作好的釣魚網站,防止被攻破的服務器是基於網路的服務器;
·進行有限的內容配置和網站測試,當首次訪問這個網站服務器時有可能會暴露他們真正的IP地址;
·下載大量發送電子郵件的工具,使用這種工具利用垃圾電子郵件為這個假冒的網站做廣告;
·通過上述步驟之後,開始有人訪問這個釣魚網站,並且潛在的受害者開始訪問這個網站的內容。
這個聯盟在聲明中說,從系統首次連接到互聯網算起,這種攻擊通常只有幾個小時或者幾天的時間。研究發現,攻擊者經常是對許多台服務器和許多機構同時發起攻擊。 連接埠重新定向
這是第二種攻擊方法。據這個聯盟稱,2005年1月11日,一個攻擊者利用Redhat Linux 7.3系統的安全漏洞成功地進入了一個蜜罐。
研究人員稱,這個攻擊事件有點不同尋常。攻擊者突破了服務器之後並沒有直接上載釣魚的內容。取而代之的是攻擊者在蜜罐中安裝並且配置了一個連接埠重新定向服務。這個連接埠重新定向服務旨在把發送到蜜罐網路服務器的HTTP請求以透明的方式重新路由到另外一台遠程服務器,使人們很難跟蹤內容來源的位置。
研究人員說,攻擊者隨後在蜜罐服務器中下載和安裝一個名為「redir」的連接埠重新定向工具軟體。這個工具軟體旨在透明地把進入蜜罐服務器的TCP連接發送到一個遠程主機。攻擊者設置這個軟體,以便把所有通過TCP 80連接埠進入蜜罐服務器的通信重新定向到在中國的一台遠程網路服務器的TCP 80連接埠。
蜜網
這是這篇報告介紹的第三種釣魚攻擊方法。在2004年9月至2005年1月期間,德國蜜網計劃部署了一系列沒有使用補丁的基於Windows操作系統的蜜罐,以觀察蜜網的活動情況。在此期間,發生了100多起單獨的蜜網活動。
研究人員稱,他們捕獲的某些版本的蜜罐軟體能夠遠程啟動在被攻破的服務器中的SOCKS代理。
這篇研究報告稱,如果訪問這個蜜網的攻擊者能夠啟動遠程蜜罐服務器中的SOCKS代理功能,這台服務器就能夠被用來發送大量的垃圾電子郵件。如果一個蜜網包含大量的被攻破的主機,攻擊者就可以非常容易地從毫不察覺的家庭電腦用戶擁有的大量的IP地址發送大量的電子郵件。
資源豐富的蜜網的擁有者利用蜜網從事犯罪活動也許不會使人們感到意外。現在是租用蜜網的時候了。蜜網的經營者將向客戶出售具有SOCKS v4功能的服務器IP地址和連接埠的列表。有很多檔案證明,有人把蜜網出售給垃圾郵件製造者作為轉發垃圾郵件的工具。
底線
在挑選了上述這些攻擊方法之後,研究人員做出結論稱,釣魚攻擊能夠很快地發生。從首次入侵服務器到在網路上建起釣魚網站只需要非常短的時間。這就使網路釣魚很難跟蹤和預防。這篇研究報告顯示,許多釣魚攻擊都是同時採取多種手段、組織得非常複雜並且經常聯合採用上面介紹的手段。
IT管理員應該做什麼?
Watson指出,駭客經常掃瞄大量的IP地址,尋找可以攻擊的有漏洞的主機。這種掃瞄活動是不分青紅皂白的。漏洞最多的服務器將首先被駭客找到。因此,網路管理員要採取最佳的安全做法並且修復系統的安全漏洞,使用防火牆並且執行嚴格的身份識別措施,或者封鎖不必要的進入服務器的連接。
蜜網研究人員Clune贊同這個觀點,並且對IT管理員提出如下建議:
提高警惕。釣魚網站從建立到開始活動是很快的。這些人預計這種釣魚網站存在時間很短,因此,需要建立很多這類網站。釣魚網站雖然存在的時間短,但是,在被發現之前造成的損失是很大的,特別是在週末。
對簡單的事情也要加小心。阻止直接發出的簡單郵件傳輸協議進入你所有的機器以及進入服務器的HTTP/HTTPS請求等簡單的事情使你的服務器不容易被駭客利用,從而使駭客轉向其它容易利用的服務器。通過你的網關強制執行簡單郵件傳輸協議並且同時運行查找垃圾郵件的軟體可能會完全阻止你的服務器發送垃圾電子郵件。從信譽的角度說,這是一種很好的方法。
此文章被評分,最近評分記錄財富:50 (by upside) | 理由: 感謝提供 參考資料 數位男女因你而豐富 | |
|
|
|