首页 > 钓鱼微信群

针对近期高校被钓鱼邮件的攻与防

钓鱼微信群钓友圈2023-07-24 10:12:42A+A-

公棕号:白帽子左一

专注分享渗透经验,干货技巧....

大家好我是任意(ArBitrarily) ,从实验室实习结束后也一直在研究安全防御,今天写的文章是近期针对我们学校的钓鱼攻击事件。

我在学校的安全团队和校信息处共同完成溯源,也希望给各位高校的同学做一个钓鱼邮件的警示

安全分析:

我今天下午收到了一封奇怪的信息,点开一看好家伙我什么时候是21届了?

本来没在意,结果问了一下工作室和院里的群,发现这好像是针对我们学校大规模的钓鱼

发现我们工作室的几个队员好像都收到了

好家伙,这就感觉有点问题了,已经有学校的小伙伴上当了

朋友圈这几天也是一片凄惨

问了辅导员之后,确定这就是个钓鱼邮件

辅导员立马进行了一波应急响应,提醒大家不要上当(点赞)

点击访问域名后,我们访问的是另一个ip:194.49.113.227(这里就怀疑其实这个域名是个短域名,后续会进行证明)

使用ip的好处就是,第一不用申请域名进行备案,第二就是会少暴露很多信息,给后续渗透的信息搜集造成难度

先进行分析,然后简单渗透一波

先分析一下他的ip,发现暂时没找到什么有用的whois信息,但是能确定的是他的ip是国外的。

尝试分析他的域名,查看文章

发现文章中的域名是一个提供短连接网站

排除通过域名进行分析这个方向,这个钓鱼链接是通过这个网站进行了一次短链接生成

分析url后提示为诈骗类网站

在微步上分析这个未知ip,发现是真正的qq邮箱

这个钓鱼团伙的攻击路线图是:想办法获取大量学生的qq账户—>制作假的qq邮件—>引导学生输入账户和密码—>学生输入密码后,钓鱼网站自动跳转到真正的mail登录界面—>钓鱼服务器194.49.113.227保存学生的账户和信息到服务器上(暂时无法确定是否有第三台服务器用来接收数据)

我很好奇这个是怎么跳转的,分析一下network信息:

抓包截断,一步步的放包,然后看他的network链接过程

这里我就明白了,index.php是负责接收数据,然后test.php是负责进行页面跳转

验证猜想:

这个域名经过查询是微信公众号的域名

请求的url是一个json文件,发现了一个ip9.146.224.162

这个网站是应该是腾讯网的登录地址

这个9.146.224.162是美国北卡罗来纳州达勒姆的一个ip,但是暂时无法判断其是否是和钓鱼网站相关,或者是否是钓鱼网站用来接收数据的服务器

小小反制:

既然是钓鱼,而且学生已经有上当的了,那就不好意思了

或者使用在线生成器

抓包登录界面

这里直接把bianhao这个参数去掉,要不然会提交错误

主要是笔记本服务性能不行,要不然可以把钓鱼团伙的服务器搞崩,或者让他找不到正确的账户密码

思考:

1.骗子是怎么获取我们的qq号的?

估计是通过信息泄露或者加了我们的新生群

2.中招的大部分是21届的新生

这说明学校更需要注重学生的网络安全意识

尝试连接3389端口,但是密码错误,为了避免被发现没有使用爆破,暂时结束

第二波攻击

本来以为他们就此作罢,没想到又来了第二波

还是老套路,短域名+钓鱼网站(一周钓鱼两波?是持续性的钓鱼吗)

第二波钓鱼网站ip为154.38.252.246

应该是钓鱼团伙找这个whois信息的人注册的,这个杨xx应该是广州云讯科技公司的人,而不是钓鱼团伙的信息

查看微步的情报文章

从文章中可以看出,这个钓鱼ip是美国加利福尼亚州的一个ip

看标签说明从11.25日攻击就已经开始了,一直持续到今天12.5,并且已经有安全人员发现了类似攻击,说明这不是个人行动,而是一次有计划的针对中国境内大学的活动

与学校信息处联合溯源:

周日下午团队上边学校,首先学校进行了应急响应,当天发布了针对钓鱼邮件的预警公告

然后在网络中封禁了钓鱼邮件的ip(学校反应速度非常快,很重视这方面的问题,毕竟新生有不少上当的)

然后对发送钓鱼邮件的qq号进行信息搜集和分析。

发现发送邮件的人其并不是什么老师,而是校园内的一名学生,该学生的qq账户和密码已经被盗取。

溯源如何获取学生账号

通过学校信息处老师对点击钓鱼网站人员的身份核实比对,列出了一个清单,寻找清单上名单的共同点

最后发现这个被盗号的同学(发邮件的qq)和接收到钓鱼邮件的同学(有我),都是加入了一个叫做社联活动群的群聊

随即联系了群聊的群主,发布公告劝解大家不要进行点击

群内多人都收到了钓鱼邮件

团队后续正在和学校协商,看能否结合起来针对防御校园诈骗,钓鱼和计算机病毒开展一些活动。

攻击路线图:

首先获取一个学生的密码—>想办法获取大量学生的qq账户—>使用学生的邮箱制作假的qq邮件—>引导更多学生输入账户和密码—>学生输入密码后,钓鱼网站自动跳转到真正的mail登录界面—>钓鱼服务器194.49.113.227保存学生的账户和信息到服务器上

文章到此结束,自己还在持续提升实力中,也希望自己今后能获得更多的机会,参与到安全防御的大部队中。一起加油!

戳此获网络安全学习资料包!

点击这里复制本文地址 以上内容由趣钓网整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!

相关内容

模板文件不存在: ./template/plugins/comment/pc/index.htm

Copyright © 2012-2024 趣钓网 版权所有

钓鱼比赛视频 | 高手钓鱼视频 | 海钓视频 | 台钓视频 | XML地图 | HTML地图

qrcode
返回顶部
X趣钓网

截屏,微信识别二维码

微信号:

(点击微信号复制,添加好友)

  打开微信

微信号已复制,请打开微信添加咨询详情!