一次持續的郵件釣魚攻擊的簡單溯源分析 - 網安 - 專業的網絡安全產業、社區、知識平臺

一、基本情況

昨天連續收到兩封欺騙郵件，分別是凌晨和下午，郵件的主題、內容都是一樣的，主要是發送人的信息不同，兩份郵件截圖如下所示：

第一封：

第二封：

郵件內容中，欺騙用戶連接的URL地址也是一樣的，都是：http://xiangwangshenghuo.cn/page.php。

因此，可認定為同一個組織/個人實施的郵件欺騙攻擊。唉，怎么一不小心就成為攻擊目標了，還一天兩封，暈。今天在outlook直接點擊訪問，發現360已經會進行攔阻，顯示如下：

直接復制url：http://xiangwangshenghuo.cn/page.php進行瀏覽器訪問，登陸界面如下：

欺騙用戶填寫郵箱的賬戶和密碼。

如果直接訪問主頁http://xiangwangshenghuo.cn，發現顯示的也是郵件登陸系統，界面如下：

隨便輸入虛擬的郵箱賬戶和密碼，顯示“密碼錯誤”，如下。

網站的結構大概如下：

很明顯，這就是赤裸裸的郵件釣魚攻擊，用于收集被攻擊對象的郵箱賬戶和密碼。

通過分析郵件頭屬性，發現攻擊者沒有對郵件頭進行信息偽造，郵件實際發送者就是outlook郵箱中顯示的發送者，分別是<market@jinglun.com.cn>和<wangren@micropoint.com.cn>，這兩個域名是國內正常的兩家公司，說明攻擊者通過其他手段獲取了這兩個郵箱的控制權限，尤其是micropoint.com.cn這家公司，還是做網絡安全業務的。

第1封郵件頭如下：

從上圖可知，該郵件是通過主機名為PC293的主機發送的，網關地址為：10.10.10.1。

第2封郵件頭如下：

從上面的郵件頭可以看出，攻擊者通過名為PC293的主機發送郵件，但是本次外部IP地址卻明顯顯示在郵件頭里面，該IP地址為：58.243.143.201，根據IP地址查詢為安徽黃山的聯通用戶，因此我們可以猜測上面的10.10.10.1是否是聯通內部的網關地址？

再來看看欺騙域名的情況，xiangwangshenghuo.cn應該是漢字“向往生活”的拼音，不知道攻擊者是希望過上怎樣的生活，呵呵。

通過ping解析，域名指向的IP是156.234.27.228，位置在中國香港。

我們再來查看156.234.27.228上綁定的域名，查詢結果如下，一看都是近幾天才綁定的域名，汗，沒想到郵箱竟直接成為首輪攻擊對象。

通過直接訪問 ousiman568.com、hwobuswangzhe.cn域名，發現登陸界面和xiangwangshenghuo是一樣的，如下圖：

因此，說明這三個域名都是攻擊者注冊并綁定的，可能用于不同的攻擊對象。

再分別對三個域名進行注冊信息查詢，結果分別如下：

從上面可判斷，上述三個域名都是通過浙江貳貳網絡有限公司進行申請注冊的，通過貳貳網絡查詢域名，結果如下：

綜上，我們可以初步判斷攻擊者的基本信息，包含域名注冊的姓名、QQ號和所在的大概地理位置。

二、小結

該釣魚攻擊正在持續實施中，攻擊者還在不停的發送釣魚郵件，并且其用于釣魚的網站域名也不停變化，截至7月7日，發現的IP有3個（香港），綁定的域名信息如下：

1、IP1：156.234.27.226

域名綁定歷史：

2022-07-06-----2022-07-06 hbtmfs.cn

2022-07-06-----2022-07-06 mquest.cn

2022-07-04-----2022-07-04 thequest.cn

2022-06-30-----2022-06-30 foreseabank.cn

2022-06-30-----2022-06-30 graydigital.cn

2022-06-27-----2022-06-27 qflwpq.cn

2022-06-22-----2022-06-24 passportoss.cn

2022-06-15-----2022-06-18 xuyuying.cn

2022-06-09-----2022-06-13 xuxiaoying.cn

2022-06-08-----2022-06-09 www.passportoss.cn

2、IP2：156.234.27.228

域名綁定歷史：

2022-07-05-----2022-07-06 cafine.cn

2022-06-28-----2022-07-01 ceciliaderafael.cn

2022-06-29-----2022-06-29 etherrock.cn

2022-06-22-----2022-06-27 laliceshiji.cn

2022-06-24-----2022-06-24 opencti.cn

2022-06-20-----2022-06-21 ihappywind.cn

2022-06-21-----2022-06-21 uwurl.cn

2022-06-09-----2022-06-16 minyanxi.cn

2022-06-01-----2022-06-12 wobuswangzhe.cn

2022-05-29-----2022-06-11 ousiman568.com

2022-05-30-----2022-06-11 xiangwangshenghuo.cn

2022-05-31-----2022-05-31 www.xiangwangshenghuo.cn

3、IP3：103.223.122.172

域名綁定歷史：

2022-04-26-----2022-06-09 mail.uepojlsd.cn

2022-05-07-----2022-06-09 dashenowqq.cn

2022-05-31-----2022-05-31 www.passportoss.cn

2022-05-11-----2022-05-12 mail.kfrihzlaqq.cn

2022-05-12-----2022-05-12 uepojlsd.cn

2022-05-06-----2022-05-08 mail.geelyemail.cn

2022-04-26-----2022-04-26 jingkezhongxin.cn

2017-12-03-----2017-12-03 www.200301.com

2017-11-25-----2017-11-25 1399p.cn

2017-10-06-----2017-10-07 10pk.ws

4、同時，攻擊者對最近對部分CN域名已開啟隱私保護服務，whois查詢無法看到注冊者信息，如下：

文章來源：FreeBuf.com