教你如何检测钓鱼网页的基础架构，从而对其进行分类识别及分析

 网络钓鱼仍然是当今企业面临的最大和最不确定的威胁之一，这两年RiskIQ安全组织处理了大量与网络攻击有关的网络钓鱼事件。利用自己开发的网络安全检测软件，RiskIQ安全组织已从各种渠道收集到了可能是钓鱼的网址，在利用网页抓取工具对这些网址进行检查后，RiskIQ安全组织还以实际用户的身份进入到这些网址进行了真实检测，最后通过RiskIQ安全组织的机器学习技术分析出最后的结果，以对每个检测到的网络钓鱼进行分类识别。

成都创新互联公司是一家集网站建设,阿克苏企业网站建设,阿克苏品牌网站建设,网站定制,阿克苏网站建设报价,网络营销,网络优化,阿克苏网站推广为一体的创新建站企业，帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿，时刻以成就客户成长自我，坚持不断学习、思考、沉淀、净化自己，让我们为更多的企业打造出实用型网站。

那些钓鱼网页的基础架构通常采用两种形式：自维护的自定义基础结构和被滥用或攻击的属于其他人的基础结构。以下是被滥用或被攻击的属于其他人的基础结构的电子邮件的钓鱼页面的实例。

另外，RiskIQ安全组织在网上查看一些资料，找到了这个钓鱼工具的其他例子:

• llyyuia.com/sendmail/index2.htm
• brazilconsul.cc/teste/drop/index2.htm
• alpinenatureexperience.com.au/wp-admin/js/prank/solorous/sendmail/index2.htm
• www.corneliacafe.com/css/sendmail/index2.htm
• www.genest.com.mx/sendmail/index2.htm
• infonetcomm.com/css/sendmail/index2.htm
• www.ciembolivia.com/js/sendmail/index2.htm
• www.webkeyit.com/sendmail/index2.htm
• eduquersonenfant.com/wp-admin/css/sendmail/index2.htm
• folhadojalapao.com.br/wp-admin/css/sendmail/index2.htm
• pdqmei.com/wp-admin/css/sendmail/index2.htm
• www.pdqmei.com/wp-admin/css/sendmail/index2.htm
• reisu.com/sendmail/index2.htm

正如你所看到的，这些钓鱼示例的名称中似乎有一个主题，每个URL都包含“sendmail”。另外，每个钓鱼网站的设计中都非常相似。

当RiskIQ安全组织探索这些页面时，首先检查主机是否受到攻击（大多数是这样的），如果是的话，找出攻击发生的位置。当然有一些明显的例子，比如URL中有'/ wp-admin /'路径，这表明它可能是一个WordPress样本。在上述钓鱼攻击中，当从其URL中删除尾随文件名'index2.htm'时，某些主机会显示出钓鱼工具包的结构：

可以有三个文件-index2.htm，sub.php和rop.php，RiskIQ安全组织可以在以上给出的链接中找到对'rop.php'的引用。钓鱼页面的来源显示，它是通过POST请求将被盗的凭证发送到此脚本的。

由RiskIQ网络爬虫工具捕获的被盗凭证

至于sub.php，RiskIQ安全组织目前还对它的功能一无所知。通过挖掘这个钓鱼工具包的更多实例，RiskIQ安全组织发现了另一个目录索引，只是这次钓鱼工具包的实例已经消失，但是，攻击者在恶意软件安装后就离开了。

网络钓鱼钓鱼工具包的安装

RiskIQ安全组织在打开disruptive.zip文件并查看后，发现它包含RiskIQ安全组织在上面目录列表中找到的所有三个文件，以下就是RiskIQ安全组织找到的rop.php的源代码。

RiskIQ安全组织从而可以发现大多数钓鱼工具使用的盗取证书的一般方法——发送一封带有凭证的电子邮件。RiskIQ安全组织找到了犯罪分子的电子邮件地址parkerfred2.0@mail.ru。RiskIQ安全组织还可以看到sub.php的用法，其中用户在发出凭证后被重定向，其中包含以下内容。

该脚本会将受害者重定向到Microsoft Windows网站上的特定页面，通过挖掘这个钓鱼工具包的更多实例，RiskIQ安全组织发现了另一个zip文件的情况。

包含zip文件的Phish kit结构

在这个zip文件中，RiskIQ安全组织还看到了rop.php中的一个电子邮件地址，它与RiskIQ安全组织的数据有一些有趣的联系。RiskIQ安全组织发现的电子邮件地址是langmesserpp@gmail.com，你可以在PassiveTotal的WHOIS搜索中找到链接到单个域的信息。

langmesserpp@gmail.com的WHOIS

该网站本身就有不少IP的信息，但目前都已经失效。有趣的是，这个域名与一个名为'McClean Law Group'的佛罗里达州律师事务所的域名mccleanlawgroup.com非常相似。不过，除了名称相似之外，RiskIQ安全组织没有发现这两个网站的其他相似内容。

标题名称：教你如何检测钓鱼网页的基础架构，从而对其进行分类识别及分析
网页地址：http://www.csdahua.cn/qtweb/news20/303120.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网