不明邮件勿点！黑灰产钓鱼大揭秘

微步在线应急响应团队 .

探究和还原事件的本质，您身边坚定的安全守护者！

点击蓝字

关注我们

大家好~我是猫哥，一个擅长邮件安全和溯源分析，偶尔沉迷于灰黑产研究的安服仔。

在上篇文章中，我的好兄弟“飞鸟”，给大家了钓鱼邮件中伪造发件人的相关知识和应用，相信大家已经学到了不少“新姿势”，是否感觉有些意犹未尽？今天，它的续集来了！

在本篇文章中，我将会聚焦视角，通过对钓鱼邮件中的牛皮癣——“黑灰产钓鱼”进行分析研究，带大家深入了解钓鱼黑灰产！

01 重大发现

几个月前的某一天，刚午休起来的我睡眼惺忪，外面天气阳光明媚，嗯~又是美好又安全的一下午。

突然，一阵急促的企微滴滴声把我从困意中唤醒，原来是有客户收到钓鱼邮件了，需要进行分析。嘿小伙子你可撞枪口上了，开工！让我来好好会会你。

在安全环境中点开钓鱼邮件后，我心里暗叹一声，小伙子花样挺多啊！

映入眼帘的是一份官方口吻的工资补贴通知，还贴心的附上了二维码扫码领取补贴。俗话说的好：跟什么过不去都别跟钱过不去。利用工资补贴的名义诱导扫码，不得不说一句，有点东西！

但是“领取”写成了“领娶”，此处差评。

想要深入分析调查，必然要模拟受害者上当的流程，主动上钩。

从兜里掏出我的iPhone 13 Pro Max 1TB远峰蓝，解锁、扫码一气呵成（警告！非专业人员请勿随意扫描来源不明二维码）

进入网站一看，收集信息还挺多，银行卡、身份证、银行卡余额等。收集这些东西，那他钓鱼的目的只有一个——诈骗！

按部就班走完信息填写的流程，点击提交时，突然一个不讲武德的弹窗跳了出来。

什么？信息错误，怎么可能？我余额写的比我自己银行卡余额还要多几倍，难道是我写的余额不够人家看不上？

等到后面回顾梳理整个事件的时候才发现：原来他的后台可以人工自定义弹窗的内容，除了“信息有误外”还可以弹窗提示“银行卡密码错误”、“余额不足”等。妙！实在是妙！

条条大路通罗马，既然此路暂时不通那就去换条思路。当研究网站域名链接时，一条可疑的dns记录引起了我的注意。

钓鱼网站的域名配置了cname解析，指向了“ganb.run”这个域名的子域名，此处必有猫腻！

经过大量验证，所有的钓鱼网站域名全都cname指向了“ganb.run”的子域名，这些子域名一共有12个。结合dns cname选项的作用：用以记录域名的别名，方便解析这一特点，问题逐渐明了。

这伙黑产组织用cname用来进行网站访问调度，就像一个班级里有几十个人，班主任会选出各种班干部，班长、学习委员、劳动委员等，用来协同调度班级各种事务，提升效率。

既然都找到了调度的域名，那就继续深挖。果然，最终在访问解析“ganb.run”的某个子域名时，找到了他的后台管理地址!（由于后台网站背景图有点违规，此处无图）

由于太过专注，手头烟灰不知觉已经掉在了键盘上，慌忙伸手去擦，突然屏幕一闪，哎？后台怎么进去了？（手动狗头）

不看不知道，一看吓一跳，进入后台才发现他的更多门道：800多个钓鱼网站、上千个受害人、8个不同的钓鱼网站模板.......刷新了我对钓鱼诈骗的认知。

到此整个事件脉络已经清晰，收工写报告！这伙黑产组织也有了他自己的名字——“ganbrun”组织

由于篇幅原因，在这我只挑了一些重点的环节去讲述，对此感兴趣的小伙伴可以点击蓝字查看原文了解更多。

上面的分析案例只是我们在黑灰产钓鱼日常分析中非常典型的一起缩影，如上篇文章中“飞鸟”（也是我们经验丰富的应急老师傅）所说的：“钓鱼的手段较多且利用方式相对灵活”。那么黑灰产钓鱼常用手法有哪些呢？跟着我往下看！

02 常见钓鱼方式

通过我们对日常分析中遇到的黑灰产钓鱼事件进行整理，总结出黑灰产钓鱼主要分为以下三种：

1、傻瓜式钓鱼

之所以叫“傻瓜式钓鱼”，是因为这些钓鱼方式基本接近人尽皆知。真正做到了“愿者上钩”。因为邮件收件人基数较大，不可避免仍有少量受害者“上钩”。

例如经典的“比特币勒索”钓鱼邮件，黑灰产团伙假装为一名黑客，“我，黑客，你被监控了！打钱删视频”

再比如某段时间流行的“419”诈骗钓鱼邮件，正文内容翻译过来意为：“你有285万美元赔偿，赶紧回复我领取吧”，用此类诱惑性话术吸引受害者，如果回复，就可能会陷入诈骗骗局中。

2、进阶式钓鱼

相比于傻瓜式钓鱼，这类钓鱼手法明显更为“高明”，也更具有针对性。通常以“邮箱账号被禁用，需要点击邮件中的链接解禁邮箱账号”此类借口，骗取受害者点击链接，钓取受害者邮箱账号密码等登陆凭证。

如下图中的钓鱼网站，就是利用了黑灰产钓鱼中经典的“借鸡生蛋”手法，通过非法手段入侵了一些正常网站，在不破坏原有网站文件的情况下，将钓鱼页面插入至网站“wp-include”目录下，钓取邮箱账号。

当然，“借鸡生蛋”只是其中一种手法。

也有黑灰产团伙会使用自身服务器进行搭建。从我们掌握的钓鱼网站源码来看，这些攻击者并不具备钓鱼网站系统编写能力，而是通过对一些开源CMS系统代码进行简单修改搭建，从而达到钓取账号密码的效果。

如下图中的钓鱼网站，使用某小众开源CMS系统源码搭建，在同一个网站上使用了数个不同的钓鱼模板，访问不同链接可进入不同钓鱼界面，达到“一站多钓”的效果。

3、精准式钓鱼

顾名思义，“高针对式钓鱼”，对比于以上两种钓鱼方式，具有高针对性，高危害性的特点。针对某一企业或某一行业进行大规模钓鱼邮件发送。往往中招的受害者会被针对性诈骗，损失大量钱财。

一开始我们讲到的，利用“工资补贴”名义进行钓鱼邮件诈骗的“ganbrun”组织，即为高针对式钓鱼的典型案例。

这伙黑灰产组织，自建了相关钓鱼站点，运用了cname技术进行网站调度，相关网站系统也非开源系统。在后台系统中还配置了不同的钓鱼模板，以针对不同场景进行高针对性钓鱼，包括钓鱼邮件话术模板和钓鱼网站模板。下图为不同模板和话术。

03 捕获和预防

接下来到了大家最爱的干货时间。我将结合实际案例，分享如何使用网站指纹提取钓鱼网站IOC进行封禁，防止进一步被钓鱼。

“网站指纹”这个词大家一定不陌生，核心就是利用网站的关键代码作为判定依据，去匹配网站使用了什么系统、组件等。

那么反向思考，黑灰产钓鱼网站一般都是批量化部署，那么如果能找到网站代码中的关键特征，就可以利用自制的网站指纹在空间测绘引擎中去批量匹配相关网站，提取其中的IOC。

说干就干，我们以日常中的某钓取邮箱账号密码的网站示例，浏览器查看网站源码，发现他的title标签看起来比较特殊，存在一定唯一性。

使用title=="OA邮箱备案系统" 这个指纹去我们自有测绘引擎去匹配下试试。果然，输入指纹后，测绘引擎光速给出了我们想要的结果。匹配到16条结果，7个IP，5个域名。收工！

指纹匹配到的数据有什么用呢？我们可以将数据中的关键IP、域名等提取为IOC，分发至内部网络安全设备中进行解析封禁，这样再有同类的钓鱼邮件投递进来，就不怕内部员工点击链接被骗啦。

关于预防钓鱼攻击还有几招分享给大家：

1、多数邮件钓鱼攻击都源于企业自身邮箱账号暴露在外，建议在日常安全运营中，统计整理暴露在外的邮箱，对其进行重点安全监控。

2、在内部邮箱系统建设中，认真核对设置系统的基础安全项，如邮箱账号登录开启多因子认证、限制普通员工发送全员邮件的权限等，避免因邮箱账号失陷造成更大损失。

3、定期关注总结流行钓鱼攻击事件和手法，对内部员工展开预防钓鱼安全意识培训，提升内部整体钓鱼防范能力。

以上建议虽好，但都需要有一定人力和技术成本投入，那有没有更简单的办法呢？

还真有！微步 One DNS闪亮登场！One DNS是我们推出的一款互联网安全接入服务产品，融合了威胁情报的企业级DNS。OneDNS具有多场景全面覆盖、识别准确率高、快速部署上手等优点，企业替换公共递归DNS指向OneDNS即可完成部署，在上网前识别风险行为过滤威胁，轻松解决被“钓鱼”的烦恼。

以上只是一些简单的预防技巧分享，抛砖引玉，小伙伴们如果还有什么好用的建议，欢迎评论区留言！

04 产业链分析

通过我们长期对钓鱼黑灰产产业链的分析和跟踪，发现目前该行业上下游产业链已相对完善，形成了开发、销售、使用、获利的一条龙式产业。

如钓鱼攻击所使用的钓鱼系统，除了修改开源系统使用外，互联网上还存在一些贩卖二次深度开发、自研开发钓鱼系统的商家。甚至还提供了“订制”功能和“网站搭建”服务。

而搭建钓鱼网站所需要的一些基础设施，如域名、主机、IP等，也有对应的商家进行贩卖。

服务器、域名免实名认证，使得钓鱼攻击成本进一步降低。

钓鱼攻击的最终目的是为了获利，获利方式主要分为以下三种

1、直接诈骗钱财获利

2、利用钓鱼获取的信息进行二次钓鱼

3、将钓鱼获取的“鱼料”信息转手贩卖获利

经过整理汇总，整体产业链架构如下图所示。

相信大家看完以后，对钓鱼黑灰产已经有了更深的了解。