在之前对服务中心的攻击调查中，FortiGuard实验室发现了犯罪分子使用的域名列表。在后续的监控过程中，我们发现其中一个网络服务器上的网络钓鱼HTML页面冒充Dropbox登录页面。之后，当分析此页面的连接时，我们发现同一页面位于Web上的数百个其他位置。在进一步调查过程中，我们发现了用于此“工业规模”网络钓鱼案例的网络钓鱼工具包。

在本文中，我们将分析网络钓鱼页面、用于创建这些页面的工具集以及犯罪分子在该网络钓鱼工具集中留下的痕迹。

一、Bindweed之叶——一个钓鱼页面

在之前的调查中我们发现了一个域名为brtory [.] com。此域名具有名为dropboxfile的子域。我们调查的起始点位于此子域的目录内——网络钓鱼HTML页面。

hxxp://dropboxfile.brtory[.]com/dropbox/filebox/dropboxx/index.php
48c13f603da1e1540cc9530b5c1d50497a128243e4952a161e84581554b138b4

考虑到此页面的URL，毫不奇怪这是冒充Dropbox登录页的页面。虽然诱骗页面的外观与原始Dropbox登录页面不完全相同，但它足够欺骗毫无警惕心的用户。

图1：左侧的网络钓鱼页面和右侧的原始Dropbox登录页面

请注意，缺少的一些重要功能，例如“忘记密码？”或“创建帐户”。这种类型的漏洞在许多仿冒页面中很常见，利用这点可以很简单的分辨是否是钓鱼网站。

现在让我们将注意力转向网络钓鱼页面的代码。此HTML页面使用Dreamweaver库“SpryAssets”。经过进一步调查，我们发现一组网络钓鱼站点都使用此库，因为它的输入数据格式验证方便。原始的Dropbox登录页面没有使用“SpryAssets”库（至少在撰写本文时是这样）。

图2：网络钓鱼页面的部分代码

网络钓鱼服务通常设计成允许用户输入的数据（通常是登录名和密码）传输给犯罪分子的方式。可以使用几种方法实现该目标。在此特殊情况下，网络钓鱼页面对同一URL使用POST方法，“form action”字段用于指定表单提交的位置，值“＃”对应于相同URL添加后缀＃：

图3：网络钓鱼HTML页面的一部分代码

我们能够检测到此页面的变体用作网络钓鱼邮件的附件。此类电子邮件的样本如下图所示。在此情形下，“form action”不包含＃，而是包含用于发送用户输入数据的完全限定URL。当然，所有其他相关路径也会更改为攻击者控制的服务器的绝对路径。

图4：网络钓鱼邮件样本

图5：网络钓鱼活动中使用的钓鱼HTML页面的一部分代码

二、短URL Telltale标志

当我们分析所有指向同一对象（初始html页面）的URL时，我们在一些URL的“尾部”发现了一些信息。下图着重强调了一个例子。根据谷歌上搜索的信息，这一添加可能意味着使用了hootsuite.com短URL服务，并且短链接是在其仪表板链接缩短器的帮助下创建的。

图6：短URL服务的“尾部标志”

后来，我们发现另一种使用ow.ly链接缩短器，它也与Hootsuite相关联。

Hootsuite.com被宣传为“社交媒体管理”平台。因此，我们预计网络钓鱼活动不仅会使用电子邮件，还会在社交媒体消息中启动。

三、Bindweed之枝——一个钓鱼网络

在继续调查期间，我们发现初始对象（HTML页面）已被复制到数百个不同的网络位置。然而，这不是事件的结尾。当开始分析相关域名时，我们发现它们还托管多个网络钓鱼页面。

例如，在下图中，我们可以看到域名earthspiritenergies [.] com.au的关系图。其中一个“叶子”是我们的初始HTML页面，以黄色矩形显示。红色圆圈中显示的网址与Dropbox网上诱骗网页相关。为清楚起见，这里只显示了七个，但实际上还有几十个。除了“Dropbox”集合外，还有另一个代表DocuSign网络钓鱼页面的“分支”（显示在蓝色圆圈中）。

图7：域名earthspiritenergies [.] com.au的不同网络钓鱼URL集群。Graph是使用VirusTotal Graph创建的。

另一个有趣的例子是qtymusic [.] comdomain。在下图中，我们可以看到Dropbox网络钓鱼页面集群（这次以蓝色显示）。绿色和紫色圆圈是cPanel和Webdisk URL。由于它们在调查期间不可用，我们无法确定这是否是另一个网络钓鱼页面，或者它是否是用于管理网络服务器的真实cPanel。

图8：域qtymusic [.] com的连接图。Graph是使用VirusTotal Graph创建的。

但是，这里有一些新东西：我们可以看到与POS软件相关的奇怪URL。这与域名不匹配，因此犯罪分子也有可能插入此链接。

虽然在我们的研究过程中没有此URL的内容可用，但我们可以尝试在相反的方向上跟踪链接。以下是Google对指定域名搜索的响应。

图9：Google搜索qtymusic [] com的结果

Google搜索结果说明了两件事：

· 有几百个不同的网站包含qtymusic [.] com的链接。

· 该链接被随机插入句子中间。

所有这些域名都不可能全被犯罪分子登记。相反，更有可能这是用于推广qtymusic [.] com的一些黑客攻击活动的结果。

图10显示了其中一个站点，现在包含qtymusi [.]com的链接。在此特殊情况下，它会出现在日本医院被黑的网页上。

图10：修改后的网页，随机插入qtymusic [.] com链接

被黑客入侵的网络服务器的数量和插入的超链接的“无意识”告诉我们使用了某种自动化工具。最有可能的是，所有这些Web服务器共享一个共同的漏洞，该漏洞被犯罪分子使用的一些修改脚本利用。

四、深入到Bindweed之根

此时，我们知道到我们正在处理某种网络钓鱼-恶意软件网络，这些网络“缠绕”了成千上万的存在漏洞的网络服务器。这就是我们将其称为Bindweed的原因。我们从它的“叶子”开始，然后我们跟随它的“分支”。但是这个网络实际上有一个“根”吗？

好吧，虽然我们还没有找到“逻辑根”（例如，那些做过它的人），但我们找到了“技术根”。我们设法找到了我们认为用于创建网络钓鱼基础设施的网络钓鱼工具包的服务器。

钓鱼工具包

ab851e5b17f382fdea66e5c52aec6cfde70881e492211ea0e4b4551e60d7b409

网络钓鱼工具包本质上是一个ZIP存档，包含模仿原始Dropbox登录页面所需的全套目录、图像、CSS和PHP脚本。网络钓鱼工具包内的所有路径都是相对的。因此，除了将要发送抓取信息的电子邮件地址之外，它可以解压缩到存在漏洞的服务器而无需修改工具包的脚本。

图11：网络钓鱼工具包映像文件目录

Index.php是一个支持PHP的页面，它有一个嵌入式HTML页面——我们调查开始的页面。verification.php页面用于诱使受害者提交电话号码。两个页面共享相同的代码以发送用户的输入。

下图中显示的代码尝试将输入的信息发送到指定的电子邮件地址。之后，它将用户重定向到正常的Dropbox页面。

图12: 用于将用户信息发送到指定电子邮件地址的代码

从上图中我们可以看到有人已经输入了两个发信人的电子邮件地址（以红色矩形显示）。我们意识到这与Bindweed网络中使用的地址不同。相反，这很可能是此套件的初始发布者的电子邮件。另一种可能性是这些电子邮件是故意插入的——为该存档的发布者不喜欢的人创建虚假的跟踪。

话虽这么说，我们决定看看能否找到与这些电子邮件地址相关的内容。

五、已发现的Email地址

当我们搜索anthonysaffo24 [@] gmail.com时，我们发现了在2015年这个地址与欺诈犯罪联系起来的信息。声称这个电子邮件地址被用来欺骗人们为出租房屋支付保证金。看起来这个电子邮件地址背后的人与这个房子无关。我们在这里找到了关于这个事件的事实。

在引用的电子邮件中，我们找到了电话号码（336）291 38XX。根据这个scambook线程，此相同的电话号码已经与不同的电子邮件地址一起使用，但具有相同的欺诈场景。因此，有理由相信其他电子邮件地址也被同一组参与者使用，即：

· anthonysaffo24[@]gmail.com

· ashleydenton67[@]yahoo.com

· truss.jason[@]yahoo.com

· davidsewell197[@]outlook.com

六、总结

FortiGuard Labs发现了一个钓鱼网络，它利用了数千个存在漏洞的网络服务器。在某些服务器上有多个网络钓鱼域名。这些Web服务器有可能被两个不同的组织独立利用，因为网络钓鱼页面的代码是完全不同的。

此外，我们设法将Dropbox网络钓鱼页面的来源追溯到已发布的网络钓鱼工具包之一。在这个网络钓鱼工具包中，我们发现插入了几个电子邮件地址，其中一个已被用于欺诈犯罪。

FortiGuard Labs将继续监控调查期间发现的网络服务器和域名。