http://blog.imperva.com/2017/01/behind-the-scenes-of-a-phishing-campaign.html
Traducción Google:
Detrás de las escenas: cómo los atacantes ampliar la vida útil de las campañas de phishing
En una anterior Hacker Imperva Iniciativa de Inteligencia (IIH) informe hemos profundizado en algunos de los aspectos financieros de phishing y robo de credenciales. Obviamente, uno de los factores importantes en el coste de una campaña es la vida útil de un sitio de phishing. Con tantas miradas indiscretas de los proveedores de seguridad e investigadores, operadores de campaña de phishing están tratando de encontrar maneras de extender la vida útil de sus páginas y servidores.
Se analizaron recientemente más de 60 kits de despliegue recuperados de los sitios de phishing en todo el mundo. Estos kits de implementación, por lo general en forma de un archivo comprimido, contienen los archivos necesarios para la instalación y configuración de un sitio de phishing. Una de las características comunes que encontramos en los kits (en 33% de ellos para ser exactos) es un mecanismo para el bloqueo de los visitantes no deseados, por lo tanto la creación de la fachada que el sitio ya es hacia abajo, y por lo tanto extender su esperanza de vida y el aumento de rendimiento de la inversión del propietario .
Siga leyendo para obtener una mirada más profunda a estas técnicas de campaña de phishing.
El bloqueo de mecanismos utilizados por los atacantes
Los paquetes contenían el código HTML esperado, javascript y archivos de imagen para la celebración de las páginas de phishing, y el archivo PHP para enviar los datos robados al atacante. Sin embargo, un tercio de los kits contenía un mecanismo para negar el acceso al sitio.
Excavando en código de los kits ‘reveló dos métodos comunes para evitar la detección por empresas de seguridad: . htaccess (en los sitios de Apache) y módulos de PHP dedicados (incrustados en las páginas de phishing a través de «incluyen» directiva o explícitamente en el código). Tomamos un vistazo a cada uno.
Bloquear a través de .htaccess
Los atacantes han estado utilizando el archivo .htaccess desde hace un tiempo. Ellos usan este archivo para ocultar malware, para redirigir los motores de búsqueda a sus propios sitios, y para muchos otros propósitos. En este caso el archivo .htaccess está siendo utilizado por los atacantes con el fin de no permitir el acceso desde una dirección IP en particular, o rangos de direcciones IP que pertenecen a los robots, compañías de seguridad, motores anti-phishing o incluso a un ISP específico.
Las siguientes figuras muestran partes de . htaccess que encontramos en los kits de implementación:
Figura 1: archivo .htaccess – bloqueo de direcciones IP y los nombres de dominio
También observamos archivos .htaccess construidos para realizar una redirección condicional basada en el árbitro de HTTP, la dirección IP remota, y el agente de usuario HTTP. En la siguiente . htaccess es un ejemplo para el uso de agente de usuario y el árbitro para hacer que el servidor devuelve un código de estado 403 Forbidden al cliente en lugar de la página de phishing:
Figura 2: archivo .htaccess – devolver código de estado 403 Forbidden a las entidades en la lista negra
En esencia, el propietario del sitio de phishing está tratando de identificar las herramientas que pueden exponer a la campaña o manchar los datos. firmas de herramientas se encuentran a menudo en las cabeceras User-Agent y de referente. Hemos observado varios archivos .htaccess donde el dueño de las condiciones establecidas sitio de phishing basados en las cabeceras User-Agent y de referente para negar el acceso a los robots de spam, orugas, arañas de investigación y escáneres de suplantación de identidad (o malware).
El siguiente archivo es otro ejemplo de bloqueo en base al árbitro HTTP:
Figura 3: archivo .htaccess – bloquea el acceso de varios servicios anti-phishing
Bloquear a través de PHP
Este método de bloqueo es relativamente sencillo y es un ejemplo de código de copiar y pegar que se encuentra en la primera página de resultados de búsqueda de Google (véase más adelante). El atacante coloca este fragmento de código en la parte superior de cualquier página PHP que desean bloquear el acceso:
<? Php
$ Negar = array ( «1.1.1.1», «2.2.2.2», «3.3.3.3»);
si (in_array ($ _SERVER [ ‘REMOTE_ADDR’], $ negar)) {
header ( «Lugar: http://www.google.com/»);
salida();
}?>
El código crea una lista de direcciones IP designadas para el bloqueo, y luego comprueba la dirección entrante contra la matriz. Si la dirección entrante coincide con cualquier valor de la lista, la función denegará el acceso a la página. Hemos visto dos tipos de páginas: redirección a una dirección URL especificada (por lo general la página de inicio de Google) y una página de error HTTP 404.
Figura 4: archivo block.php – redirigir a http://google.com/
Figura 5: anti.php archivo – HTTP 404 de retorno de error no encontrado
¿Cuántas entidades bloqueadas?
Se analizaron un conjunto de datos de direcciones IP bloqueadas que encontramos en 20 archivos de bloqueo recogidos de los kits de implementación. El número total de registros bloqueados era de 3.850, donde cada registro representa una dirección IP individual o un rango de direcciones IP. La normalización y el análisis de los registros revelan 1.215 subredes y 155 direcciones IP únicas, que representan 69,831,362 direcciones IP en total, formando un 6,5 por ciento de todas las direcciones de Internet no reservados.
Para nuestro análisis inicial, Dividimos las direcciones IP individuales y subredes entre los que tienen una sola aparición en nuestro conjunto de datos y los que tienen múltiples apariciones. El gráfico siguiente resume la aparición de direcciones IP individuales en nuestro conjunto de datos:
Figura 6: Aspecto de las direcciones IP individuales en el conjunto de datos
La siguiente figura resume la aparición de subredes en el conjunto de datos:
Figura 7: Aspecto de subredes en el conjunto de datos
Se aparece inmediatamente que casi 25 por ciento de las subredes y 76 por ciento de las direcciones IP individuales aparecieron en dos o más archivos de bloqueo. Además, 6 de los 20 archivos de bloqueo que analizamos eran completamente idénticas entre sí. Los archivos de bloqueo idénticos y la similitud de código (ver Una breve mirada en los kits de implementación a continuación) que demuestran una vez más que hágalo usted mismo (DIY) de phishing y gestionado phishing son los principales factores para el crecimiento de suplantación de identidad (véase nuestro anterior HII informe ) .
Nos encontramos con que Google y Amazon se enumeran en la mayor parte de los archivos de bloqueo. Esta es, probablemente, para evitar la detección y la indexación de los sitios de phishing y bloquear cualquier cliente que es inverosímil ser una víctima real. Es interesante notar que los proveedores de servicios de Internet de Israel (012 Smile, 013 NetVision y Bezeq Internacional) también son muy comunes en los archivos de bloqueo. Suponemos que esto se debe a la abundancia de las compañías de seguridad cibernética en Israel.
¿Quién está en la lista negra?
Una vez que nos fijamos en los datos, se hizo evidente que hay varias organizaciones en la lista negra por los piratas informáticos. Estos incluyen servicios de alojamiento en Internet, compañías de seguridad, servicios anti-phishing y organizaciones gubernamentales. Al enriquecer la información de la dirección IP con «Búsqueda de direcciones IP a granel», hemos sido capaces de reconocer más de 400 organizaciones diferentes, más de 100 de ellas son empresas de seguridad informática y servicios anti-phishing.
principal objetivo de los atacantes es bloquear cualquier cliente que es poco probable que sea una verdadera víctima. Por lo tanto, algunos de los archivos de bloqueo contienen rangos de direcciones IP que cubren todo el espacio de direcciones de una organización en particular.
Además, hemos encontrado más de 200 herramientas y los robots que están en la lista negra por los propietarios de los sitios de phishing. Estos incluyen herramientas legítimas, tales como programas de gestión de descargas, los buenos contra los robots como rastreo web de Google bot, sino también varios robots malos como los robots de spam, arañas, rastreadores y raspadores.
Como tal, nos dimos cuenta de que el 40 por ciento de los archivos de bloqueo contenía direcciones IP TOR destinados a bloquear los investigadores que usan frecuentemente la red Tor para ocultar su verdadera identidad. Un punto importante a notar que una vez que el sitio de phishing se despliega, el propietario no espera para acceder a ella más – de lo contrario se le permitiría el acceso TOR para mantener el anonimato.
Figura 8: IP de la red TOR direcciones en la lista negra
Figura 9: Tor-salida nodos en la lista negra
Empezamos por observar la distribución geográfica de las direcciones y subredes IP bloqueadas.
Figura 10: Distribución geográfica de las direcciones y subredes IP bloqueadas (%)
Es interesante ver que Israel está en el sexto lugar en la lista de países bloqueados.
Como parte de nuestra investigación, decidimos comprobar si estamos listas negras de phishing atacantes. Encontramos rango de direcciones IP de Imperva en cuatro diferentes archivos .htaccess. Sobre la base de nuestra muestra, suponemos que un tercio de los sitios de phishing tiene una funcionalidad de bloqueo. Nuestras direcciones IP aparecen en una quinta parte (20 por ciento) de las listas de bloqueo, que es de aproximadamente 6,6 por ciento de todas las listas negras en la naturaleza.
En el siguiente ejemplo, vemos que resulta página del sitio de phishing cuando se accede a través comparado con IP en la lista negra accede a través de la dirección IP en la lista negra no:
Figura 11: El bloqueo en la acción – 404 Not Found
Para comprobar nuestra hipótesis, se recuperaba una lista de más de un millar de sitios de phishing conocidos utilizando proxies anónimos y se compara la página resultante, cuando se tomaron de nuestra empresa IP.
El uso de un proxy anónimo ha mejorado nuestra accesibilidad a los sitios de phishing en un 7 por ciento, lo que está muy cerca de nuestra suposición de un 6,6 por ciento.
Obviamente, la cantidad de mejora diferirá entre las organizaciones y depende de la incidencia de la dirección IP utilizada en las listas negras.
Una breve mirada en los kits de implementación
Como ya teníamos una buena colección de kits de despliegue que decidimos ejecutar un análisis adicional. Un tipo de análisis que nos encontramos era código de similitud. Cuando nos fijamos en el código fuente de inmediato nos dimos cuenta de que un tercio de ellos contiene exactamente los mismos archivos que están relacionados con una campaña de Google Docs phishing:
Figura 12: Los archivos dentro del mismo archivo de phishing
Index.php – código PHP que procesa las credenciales enviado a una página falsa «Google Docs» y los envía a la cuenta de correo electrónico controlada de un atacante.
Verification.php – código PHP que es relevante para las cuentas de Gmail solamente. Presenta una falsa página de verificación y obtiene es información confidencial, como dirección de correo electrónico o un número de teléfono.
geoplugin.class.php – una clase PHP utilizada por el atacante para geolocalizar la dirección IP de la víctima.
El siguiente es un ejemplo del archivo «index.php» que encontramos en 20 servidores diferentes de phishing:
Figura 13: index.php
El archivo «index.php» presenta una página de phishing Google Docs:
Figura 14: Página de phishing Google Docs diseñado para obtener credenciales de correo electrónico
Un hecho interesante es que la firma «por Nobody ‘(en la primera línea del mensaje) aparece en 17 de los 20 archivos index.php. Los otros tres archivos contienen exactamente el mismo código, pero firmados por un atacante diferente ( ‘milagrosamente’) o no firmado en absoluto. Código fuente Otros sitios de phishing ‘se puede dividir en grupos más pequeños de 2-4 sitios, que contienen el mismo o casi idéntico contenido. Demuestra los dos modelos de las que hablamos en nuestra HII anterior informe , Gestionado phishing y Hágalo usted mismo (DIY) Sitio de caza. Como se mencionó en el último informe, «El atacante puede utilizar los servicios existentes para ejecutar la estafa de phishing para reducir al mínimo los gastos operativos, incluyendo las páginas de estafa que se venden en línea para una variedad de servicios y sitios.»
Los atacantes de phishing continúan su juego
En este post hemos descrito algunos resultados iniciales de nuestro análisis reciente y, en particular, el uso de técnicas de bloqueo visitante para mantener a los investigadores y los robots, extendiendo así la vida útil de los sitios de phishing de los atacantes. Esto está en consonancia con nuestras observaciones ya se ha informado en cuanto a la importancia de las finanzas de la campaña de phishing. Nuestra investigación muestra que el phishing en plataformas de grado industrial y la infraestructura constantemente se están creando y mejorados por los atacantes especializados – demostrando que las campañas masivas de phishing siguen siendo una herramienta importante del comercio para la industria de la delincuencia cibernética. Credenciales obtenidas a través de éstos, presumiblemente básica, técnicas se utilizan luego para su posterior lanzamiento de ataques sofisticados contra las organizaciones.
Esté pendiente de otros resultados de nuestro análisis transversal de los kits de implementación en futuras entradas de blogs y reportes.
Latest posts by Jose Miguel (see all)
- Curso básico de ciberseguridad: Módulo 6 - 8 marzo, 2025
- Curso básico de ciberseguridad: Módulo 5 - 1 marzo, 2025
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
