釣魚頁面的生命周期 - 網安 - 專業的網絡安全產業、社區、知識平臺

介紹

在這項研究中，我們分析了網絡釣魚頁面的存活時間以及它們在不活動時的跡象。除了一般數據之外，我們還提供了許多選項，用于根據正式標準對網絡釣魚頁面進行分類，并分析了每個選項的結果。

由此產生的數據和結論可用于改進重新掃描最終出現在反網絡釣魚數據庫中的頁面的機制，以確定對新網絡釣魚案例的響應時間，以及其他目標等等。

數據檢索方式

本研究選擇了在2021年7月19日至8月2日期間被我們的簽名反網絡釣魚引擎識別為“網絡釣魚”威脅的網站。該引擎的數據庫每分鐘監控一次，以避免在作出判斷和將鏈接上傳到研究數據庫之間出現延遲。從每個子域中選擇一個鏈接，以將樣本范圍最大化并排除任何異常值。我們共收集到5310個鏈接，其中絕大多數(5307個)導致了網絡釣魚頁面，而其余的則導致了欺詐頁面。

從“網絡釣魚”判斷被分配到頁面的那一刻起的三十天時間里，分析程序每兩個小時檢查一次每個鏈接，并保存服務器發出的響應代碼以及檢索到的HTML頁面的文本(如果頁面無法加載，則保存為錯誤日志)。然后將每個頁面的內容與其早期版本進行比較，重點關注一些特征：頁面的MD5哈希值、標題和大小。詳細的分析過程如下圖所示：

數據處理方式

30天期限結束后，每個鏈接存儲了以下數據：

根據上述流程圖分配的分析結論；
服務器響應代碼；
錯誤日志；
基于分析手動分配標簽的頁面標題：
該頁面包含網絡釣魚或詐騙；
該頁面是托管存根；
該頁面無法找到或無法加載。

此列表中的每個項目都有一個時間戳，以表示從開始監視鏈接起經過的秒數。使用時間戳，我們將數據記錄到表格中，以繪制一個顯示每個鏈接生命周期的圖表。這使我們能夠跟蹤頁面上何時存在網絡釣魚活動。

顯示鏈接生命周期的圖表示例。此圖表顯示鏈接的唯一標識符(在圖表標題中)、頁面標題(藍色)和錯誤(紅色)。x軸表示監測天數。

我們將與每個時間戳相關的分析結果加在一起，并計算了自開始受到監控以來經過一段固定時間后仍處于活動狀態的頁面數量。我們還計算了在此期間變為非活動頁面的數量以及它們在最后一段非活動期間顯示的錯誤(也稱為“非活動跡象”)。

一般結果

釣魚頁面的生命周期

下圖顯示了在30天監測期內，釣魚鏈接變為非活動狀態的存活天數。鑒于程序是逐步檢測到鏈接的，該圖顯示了每個鏈接被監測的相對時間，即天數。在監控的第一天之后，大量鏈接（1784）已經處于非活動狀態。

根據活躍天數對釣魚鏈接進行分類

乍一看，根據鏈接活躍時間的分類顯示，大部分網絡釣魚頁面僅活動不到24小時。在大多數情況下，頁面在其生命周期的最初幾個小時內就已經處于非活動狀態。

根據活躍小時數對釣魚鏈接進行分類。該圖顯示了每個鏈接生命周期前五天的數據。

在短短30天內，3,791(71.4%)）個頁面停止顯示網絡釣魚活動的跡象。此外，四分之一的頁面在開始監控后僅13小時就已處于非活動狀態，而一半的頁面存活時間不超過94小時。

網絡釣魚活動結束的標志

在這項研究中，我們發現以下跡象表明頁面上的網絡釣魚活動已結束：

超時—域已成功轉換為IP地址，但Web服務器沒有響應
域名解析錯誤—無法將域轉換為IP地址
無內容—釣魚內容已被替換為“找不到頁面”存根，或者嘗試打開鏈接時出現404錯誤
托管存根——鏈接頁面清楚地表明該域是托管的(例如，“帳戶被阻止”、“正在重建的網站”等)，而不是網絡釣魚內容。
其他—還有一些罕見的跡象，例如證書錯誤等等。

下圖顯示了在研究中包含的鏈接中最常觀察到的跡象。

表明網絡釣魚活動結束的標志

在其生命周期內更改為網絡釣魚頁面

在大多數情況下，網絡釣魚頁面在整個活動期間都保持不變，盡管它們可以發生變化。例如，網絡釣魚者可以更改品牌名稱，即他們冒充的目標組織。我們通過分析頁面標題來監控目標組織的變化，因為標題的變化最常表明目標的變化。

另一種選擇是更改頁面的代碼，我們通過分析頁面的大小來識別。這比分析代碼符號更合適，因為它允許我們過濾掉代碼中包含隨機變量的頁面。網絡犯罪分子經常使用它們來避免被阻止：整個頁面的哈希總和（被反網絡釣魚引擎用于檢測相似頁面）即便在進行最細微的更正時也發生變化。分析頁面的大小還可以讓我們快速處理大量的網頁對。

網絡釣魚頁面在其生命周期中經歷的變化

本研究中監控的頁面沒有一個在其生命周期中改變其目標組織。原因可能是許多網絡釣魚網站在其URL中使用一系列符號，旨在模仿他們冒充的目標組織(例如amazon)。這種網絡釣魚很難重新定位以復制不同的組織，網絡犯罪分子創建新的網絡釣魚頁面比調整現有頁面更容易。

根據其目標對在其生命周期中改變其內容的網絡釣魚頁面進行分類

在改變內容的網絡釣魚頁面中，那些模仿PUBG游戲中獎品的網頁尤為突出。這可能與PUBG交替運行臨時事件(“季節”)這一事實有關。鑒于網絡犯罪分子想讓他們的網絡釣魚頁面具有說服力，他們會定期更改頁面內容。假冒的PUBG贈品示例：

根據各種標準對鏈接進行分類

上面提供的數據可以對現代網絡釣魚頁面的生命周期做出一些一般性結論，而無需關注特定類別。但是，如果我們按照固定的標準對這些頁面進行分組，并研究它們的生命周期特征如何因組而異，我們可以更多地了解此類頁面。

我們根據以下正式標準對網絡釣魚頁面進行了分組：

域創建日期
頂級域(TLD_，如.com或.ru
釣魚頁面在網站根目錄或單獨目錄中的位置
釣魚頁面所在的域級別

域創建日期

我們從WHOIS公共數據中獲得了域創建日期。根據這些數據，我們將所有域分為五類：

創建于2021年6月或之后；
創建于2020年6月至2021年6月之間；
2015年6月至2020年6月創建；
2015年6月之前創建；
hosting。

根據創建日期分布收集的域

時間框架基于這樣一個事實，即新域上的網絡釣魚頁面的生命周期更多地取決于其創建的確切時間，而不是舊資源上的網絡釣魚頁面的生命周期，因此周期長度會有所不同。“hosting”類別結合了卡巴斯基反網絡釣魚數據庫中標記為主機域的域上的頁面。為這些頁面創建了一個單獨的類別，因為WHOIS服務指示了二級域的創建日期，而托管網絡釣魚頁面通常位于創建日期不可用的子域上。我們也無法找到511個與托管無關的域的創建日期，這就是這些頁面在本節中被忽略的原因。*此類別中四分之一的域變為非活動狀態所經過的小時數。

**此類別中的一半域變為非活動狀態所經過的小時數。

根據創建日期分布釣魚頁面

基于這些數據，我們進行了一些觀察。以下是關鍵要點：
托管的網絡釣魚頁面變得不活躍的速度比其他頁面更快。四分之一的頁面存活時間不超過8小時，30天后只有12.3%的頁面保持活躍，因為最簡單最便宜的選擇是創建托管網絡釣魚網站。托管服務提供商提供免費試用期，而這通常足以滿足網絡犯罪分子的計劃，一旦免費試用期結束，他們可以簡單地創建一個新頁面并放棄舊頁面。
結果證明，最具“彈性”的頁面是在2015年6月之前創建的頁面：這些頁面中有45.7%在30天后仍然處于活動狀態。其中大部分是被網絡犯罪分子入侵的舊網站，他們將網絡釣魚內容放在那里。這些頁面可能會長期保持活動狀態，因為它們已被其原始創建者遺棄，或者位于裝有過時軟件的服務器上，這使得網站更容易受到攻擊。
對于較新的網站，不成功的域名解析是活動停止的更常見的跡象，而較舊網站上最常表示網絡釣魚活動結束的跡象是顯示“未找到”和404錯誤的頁面。

頂級域（TLD）

我們將所有使用的頂級域分為三組：流行gTLD(通用頂級域，包括com、.org.和.net)、便宜的gTLD(.xyz和.top)和ccTLD(國家代碼頂級域)級別域：.cn、.ru等)，我們還決定計入不屬于前兩個類別(.live、.app等)的gTLD。

頂級域名分布

網絡釣魚頁面最常使用已建立的知名域名，例如.org和.com。同時，.xyz域名在網絡犯罪分子中很受歡迎，它是頂級域名之一，可以讓您以低成本或免費注冊新域名，方便創建一日網站。*此類別中四分之一的域變為非活動狀態所經過的小時數。

**此類別中的一半域變為非活動狀態所經過的小時數。

根據使用的頂級域對網絡釣魚頁面進行分類

釣魚頁面最常被發現的TOP 10頂級域

30天后，在流行的舊TLD上的網絡釣魚頁面中觀察到了最低的活動百分比為(22.8%)。對這個數字作出很大貢獻的網站“位于”動態域名服務duckdns.org上。任何服務器的所有者都可以將duckdns.org上的域名免費鏈接到其服務器的IP地址，網絡犯罪分子可以使用這些地址來快速創建網站。

域名解析失敗案例中，位于廉價域名上的網站所占比例最大，為63.1%。原因是在這些域上注冊一個新名稱很容易，這僅對網絡釣魚攻擊有吸引力，其中域名拼寫出拼寫錯誤的知名品牌。當不再需要某個網站時，所有者將放棄該網站并且不再續訂注冊。這意味著該網站將永遠從互聯網上消失。

網絡釣魚頁面在網站上的位置

網絡釣魚頁面可以根據它們在服務器上的位置分為兩組：

其文件位于服務器根目錄的頁面，例如https://example.com/；
其文件位于文件夾(目錄)中的頁面，例如https://example.com/phishing。

根據位置分布釣魚頁面

有關網絡釣魚頁面文件所在位置的信息可以幫助我們確定攻擊者是創建了專門用于網絡釣魚的網站還是黑客入侵的網站。在合法網站的根目錄設置網絡釣魚頁面可能需要更改服務器上的文件結構并刪除合法網站的內容。這可能比在服務器上創建一個不干擾網站的其他信息資源的新文件夾更麻煩。*此類別中四分之一的域變為非活動狀態所經過的小時數。

**此類別中的一半域變為非活動狀態所經過的小時數。

根據網絡釣魚頁面在服務器上的位置分布

結果證實了之前的假設，即網絡犯罪分子更容易在被黑網站上創建單獨的目錄以實現其目標：顯示錯誤“無內容”的頁面中有97%以上位于目錄中。“無內容”表示該文件已從服務器中刪除。通常情況下，當網站的合法所有者重新獲得對網站的訪問權限或只是檢測到威脅并刪除可疑內容時，就會發生這種情況。

事實證明，位于目錄中的網絡釣魚頁面比位于根目錄的頁面更具彈性：大約30%的鏈接在30天內保持活動狀態（相比之下，根目錄中的頁面為20%）。此外，目錄中一半的網絡釣魚鏈接僅在157小時后才變為非活動狀態，這是在根頁面觀察到的活動長度的四倍。

域級別

按域級別分布

域級別可以指示網站是大型網絡的一部分，例如托管服務還是獨立的在線實體。在確定域級別時，復合頂級域（如.co.uk）被計為一個級別。*此類別中四分之一的域變為非活動狀態所經過的小時數。

**此類別中的一半域變為非活動狀態所經過的小時數。

第六級以上的域很少見，通常是為了通過模仿真實網站URL的編寫方式來欺騙用戶。一個例子是虛構的網站：https://www.google.com.secure.domain.phishing[.]xyz。用戶快速瀏覽該鏈接會看到google.com，但可能不會注意到這不是完整的域名，并且該網站與Google沒有任何聯系。

按域級別分布網絡釣魚頁面

我們根據收集的數據進行了一些觀察。以下是關鍵要點：

域級別越高，頁面的彈性就越大。這反映在30天后仍處于活動狀態的頁面百分比。
在變得不活動的三級(和更低級別)域上的頁面上遇到錯誤“找不到內容”。這進一步證實了并非每個二級以下的網絡釣魚鏈接都位于托管服務上。
反之亦然，即并非二級域中的每個頁面都位于其自己的服務器上：托管存根位于該級別。這與您在托管服務上注冊網站時可以連接預先注冊的二級域有關。

在網絡釣魚中最常遇到哪些特征組合？

我們已經研究了根據正式標準對網絡釣魚頁面進行分類的不同方式。基于這些數據，我們現在可以查看最常見的特征組合，以確定最常遇到哪些網絡釣魚網站。

所有特征組合的頻率表

*此類別中四分之一的域變為非活動狀態所經過的小時數。如果沒有足夠的域在 30 天內停止活動，則該圖表將留空。

**此類別中的一半域變為非活動狀態所經過的小時數。如果沒有足夠的域在 30 天內停止活動，則該圖表將留空。

*** 此類別中四分之三的域變為非活動狀態所經過的小時數。如果沒有足夠的域在 30 天內停止活動，則該圖表將留空。

網絡釣魚頁面最常位于熱門頂級域（占所有鏈接的11%以上）上托管的三級域的根目錄，在這些特征組合中存在高度相關性：當我們看到釣魚頁面位于域的根目錄下，在超過一半的情況下，網站托管在三級域中。通常，這些頁面只會在極短的時間內處于活動狀態——75%的鏈接在兩天后變為非活動狀態。

2020年6月至2021年6月期間創建的大多數網站都使用域名.com、.org、.net和.info。這類網站不僅包括被黑客入侵的新網站，還包括由網絡犯罪分子專門構建的網站。在此類別中脫穎而出的頁面是用于竊取用戶銀行卡詳細信息的虛假電子支付表格。這些頁面可能是欺詐網站或單獨網站的一部分。有太多虛假網站鏈接到某些虛假支付頁面，這些頁面已進入Alexa前100萬人氣排名。“電子支付”網站的示例：

在2021年夏季創建的域主要是二級域。通常，被卡巴斯基產品屏蔽的最新網站是專門為網絡釣魚而創建的。這些一日網站通常在網絡上沒有廣泛的設備系統，因此它們不需要子域，這就是攻擊者停留在二級域的原因。

第二個最受歡迎的組合是位于2015年6月之前創建的三級域目錄中的網絡釣魚頁面。這是最具彈性的網絡釣魚頁面類型：不到四分之一的頁面在30天內停止顯示網絡釣魚活動的跡象，這明顯低于平均水平。

對該類別中的鏈接進行更詳細的分析，發現它們幾乎都使用相同的二級域名，并且具有相似的隨機生成的三級域名。在這些情況下，該網站可能成為網絡攻擊的受害者，黑客在不接觸主網站內容的情況下獲得了訪問權限并創建了多個子域。

結論

我們已經研究了網絡釣魚頁面生命周期的關鍵階段：其創建、內容更改和活動結束。根據研究結果，我們得出以下結論：

大多數網絡釣魚頁面都在短時間內處于活動狀態：一半的鏈接在檢測后不到一周內就已經處于非活動狀態。
現代網絡釣魚頁面很少更改：在其生命周期內，沒有一個被監測的頁面在其生存期內更改其目標組織。內容的重大變化主要出現在針對在線游戲玩家的頁面上，這些頁面提供定期優惠和贈品。網絡犯罪分子必須調整他們的網絡釣魚頁面以跟上這些提議，并使頁面盡可能令人信服。
平均而言，只有不到一半的頁面顯示超時作為不活動的標志。其他的跡象包括域名解析失敗、沒有內容和托管存根。
幾乎三分之一的鏈接指向托管網站——這是活動時間最短的鏈接類別。在某些情況下，這些網站只存在幾個小時。