代理大约5%的互联网请求给了我们一个有趣的观察恶意行为的有利位置。然而，它也使我们成为目标。除了破坏我们防御系统的各种各样的拒绝服务（DDoS）攻击之外，我们还看到了大量的网络钓鱼活动。在这篇博文中，我将剖析最近的一次网络钓鱼攻击，我们在Bluehost的朋友的帮助下发现并中和了它。一个特别有趣的攻击，因为它似乎使用了全新的WordPress 0day。一天的网络钓鱼我们通常看到的第一个迹象表明一个新的网络钓鱼活动正在进行中是网络钓鱼电子邮件本身。一般来说，每天都会有一些针对个人客户的电子邮件产生持续的背景噪音。然而，当一场规模更大的竞选活动开始时，这种涓涓细流通常会变成类似信息的洪流。下面是我们最近收到的一个例子：注意-CloudFlare永远不会向您发送这样的电子邮件。如果你看到一个这样的，它是假的，应该报告给我们的虐待小组转发给support@cloudflare.com。就网络钓鱼活动的时间表而言，这些电子邮件并不是第一次。就像蜘蛛想捕捉苍蝇一样，钓鱼者首先要建立一个网来诱捕他的或她的受害者。一种方法是通过登录页。看起来像目标域的合法登录页，这些登录页有一个目标-收集您的凭据。由于这些登陆页面很快被识别出来，钓鱼者通常会不遗余力地确保他或她能在一个活动的生命周期内建立几十个甚至几百个页面，同时还要格外小心，这些页面不能被追踪到他或她。一般来说，这意味着为了注入一个网络钓鱼工具包而牺牲大量易受攻击的网站。毫不奇怪，大多数网络钓鱼活动的第一步通常是大量易受攻击的网站的大规模妥协。这就是为什么每当一个流行的CMS平台出现重大漏洞时，钓鱼电子邮件的数量就会显著上升。这也是为什么保护互联网的后台是建设更好的互联网的关键一步。如果易受攻击的CMS站点得到保护，它们不仅可以蓬勃发展，而且当它们的基础设施被恶意劫持时，成千上万的潜在受害者也会受到保护。这就是为什么在CloudFlare，我们认为为每个网站提供免费的基本安全性是如此重要，为什么它最终会成为构建一个更好的互联网的游戏规则的改变者。回到菲什回到我们的网络钓鱼攻击，我们发现这没有什么不同。正在分析"load.cloudflare.com网站"超链接上的消息，我们看到它实际上是一个链接指向一个受损的WordPress网站，由Bluehost托管。注意：这不是对Bluehost的反映，每个主机提供商都会在某个时候成为目标。更重要的是，那些托管服务提供商随后如何回应被入侵网站的报告。事实上，Bluehost对我们的请求作出了迅速的响应，以及他们处理我们报告的受影响站点的方式，应该受到赞扬。在这个特别的活动中，每一封邮件都遵循同样的模式。这是另一个链接的来源activate.cloudflare.com":如您所见，当消息显示您将要activate.cloudflare.com"实际上，任何点击链接的人都会转到受害者网站。毫不奇怪，它运行的是一个旧的、易受攻击的WordPress版本。这个活动中的每封网络钓鱼邮件都遵循着完全相同的模式：一个发送给$customer的基本电子邮件模板，通知他们他们的网站已被锁定，并邀请他们点击一个链接，将他们带到Bluehost上的一个受损的WordPress站点。看起来这个攻击者使用公共DNS和电子邮件记录获取了大量目标域，这些域标识了管理电子邮件地址。这成了受害者名单。然后将无辜的攻击目标注入到她的域名系统中。最后，一旦完成，攻击者将向受害者列表发送钓鱼电子邮件。就网络钓鱼攻击而言，这一次非常简单。一个精明的用户要想揭示这个链接的真正本质，只需将鼠标移到上面。只要你把鼠标移到上面，你就会看到链接--"activate.cloudflare.com"--与真正的目的地不匹配。更先进的网络钓鱼技术一个聪明的钓鱼者可以使用许多众所周知的技巧之一来混淆URL。下面是一些可能的技巧，所以如果你看到它们，你就会知道它们。图像地图。网络钓鱼者不再像上面那样使用传统的超链接，而是在他们的电子邮件中添加一个图像地图。当然，图片是指向可信网站的链接，例如网站". 当一个毫无防备的用户点击图像地图的坐标时，他们会被转移到钓鱼网站。下面是一个从旧的eBay网络钓鱼电子邮件中获取的技术示例：为了不让她看起来像垃圾邮件过滤器一样，在一些合法的垃圾邮件过滤器中加了一些。然而，用户体验与早期的网络钓鱼电子邮件相同。当你把鼠标移到图像地图上，你就会看到真正的目的地。拼写错误的域名和同形文字。拼写错误的域可能看起来与合法的域非常相似，通过使用同形符（或类似字符），攻击者可以使拼写错误看起来更不明显。示例包括"microsft.com公司"或"g00gle.com网站"这些域名看起来与网络钓鱼邮件中公布的链接非常相似，以至于很多人将鼠标移到链接上时会忽略差异。反射、重定向和javascript。很多网站——甚至像答案.usa.gov--具有搜索功能、非站点链接或易受攻击的页面，这些页面过去曾被钓鱼者滥用。如果可以操纵异地链接（通常是跨站点脚本漏洞），则仿冒者可能会显示来自目标域的链接，从而将受害者带到钓鱼者控制的页面。下面是一个历史性缺陷的例子，它存在于答案.usa.gov网站在这种情况下，URL看起来像是合法的"答案.usa.gov但是如果你点击它，你会激活一个跨站点的脚本漏洞，在你的浏览器中执行javascript。攻击者可以轻松地将带有此类缺陷的页面变成恶意凭证获取器，同时继续使用合法站点的链接。注意-所有这些额外的%20都是经过编码的空格，可以将javascript推到足够远的地方，以至于在鼠标悬停时看不到它。一个稍有不同的缺陷，也在美国政府网站，包括其网址缩短服务。对任何人开放，网络钓鱼者很快发现他们可以使用这项服务创建简短的网址，因为.gov前缀看起来很重要。受害者可能不愿意主动点击一点点如果遇到.gov链接，link可能就不那么不情愿了。下面是一封来自某个活动滥用该服务的电子邮件的示例：URL混淆。从历史上看，这一直是最流行和最多样化的技术之一。概念很简单：使用任何可用的URL编码方法来伪装目标URL的真实性质。我将在下面描述一些历史性的技术。注意：现在许多现代浏览器都对这些技术发出警告。首先是用户名：password@url滥用。这种表示法现在已被弃用，因为现在只有傻瓜才会在HTTP查询字符串中传递凭证，它的设计目的是允许无缝地访问密码保护区。虐待很容易，例如：@www.evilsite.com接下来是IP地址混淆。你可能对IP地址很熟悉吧？123.123.123.123嗯，IP地址也可以用浏览器可以接受的其他格式表示。把这个和用户名：密码@一个攻击者可以有效地隐藏他的目的地。下面是四种不同的方法来显示Google的IP地址之一——74.125.131.105@74.125.131.105@1249739625/http://www.safesite.com@0x4a.0x7d.0x83.0x69/http://www.safesite.com@0112.0175.0203.0151/所有这些URL都指向74.125.131.150。最后，我们有了基于Punycode和homograph的模糊处理。Punycode的创建是为了让国际字符映射到DNS的有效字符，例如"cafécom"。使用punycode，这将表示为xn--caf-dma.com公司. 正如开头提到的，同形符号是与其他符号非常相似的符号，如0和O，或I和l。通过组合这两种方法，我们可以创建如下URL：网站⁄login.html.evilsite.com网站这个模糊的URL的秘密是使用一个非标准字符，它恰好是/的同形符号。结果呢？而不是一页安全网站，您实际上被带到以下punycode域的子域：像这样的新的模糊处理技术经常出现。网络钓鱼是中、低技能攻击者最常见、也是最有效的攻击方法。在发现潜在的网络钓鱼企图时，及时掌握这些技术非常有用。结论经过进一步的分析，很快我们就清楚了，这次活动中的所有端点都是运行WordPress4.0-4.1.1的WordPress站点。最有可能的情况是WordPress 4.1.1及更早版本中出现了一个新的严重漏洞。考虑到4.1.1在撰写本文时是WordPress的最新版本，这只能意味着一件事——WordPress在野外的一天。通过检查WordPress站点，可以确认几小时前他们宣布了一个新的关键跨站点脚本漏洞：W