搜狐中招钓鱼邮件诈骗的技术和基础设施分析
字数 1475 2025-08-06 23:10:24

钓鱼邮件诈骗技术及基础设施分析教学文档

0x00 背景概述

2022年4月中旬,搜狐公司遭遇一起精心策划的钓鱼邮件诈骗攻击。攻击者发送伪装成"工资补贴"的钓鱼邮件,邮件附件为包含二维码的doc文档。扫描二维码后,受害者会被引导至钓鱼网站(http://*.kjhdf[.]uno/),该网站会收集银行卡、身份证、手机号等敏感信息。

攻击特点

  • 使用之前通过钓鱼获取的真实邮箱地址作为发件人,增加可信度
  • 钓鱼活动可能始于2021年12月底,已使用约6000个域名
  • 攻击者持续更新系统和基础设施

0x01 攻击技术分析

钓鱼页面技术实现

  1. 设备检测:使用Jump.js检测访问环境,非移动端会重定向到pc.html
  2. 会话跟踪:生成用户Cookie保持会话
  3. 动态配置:从后台接口(如http://api.khjqwe[.]uno/)加载配置
  4. 实时通信:建立WebSocket连接实现实时交互

信息收集流程

  1. 仿冒"工资补贴"或"中国***在线认证中心"页面
  2. 分步收集以下信息:
    • 银行卡号
    • 姓名
    • 身份证号
    • 手机号
    • 信用卡有效期和CVN码
    • 信用额度
    • 卡内余额
  3. 进行短信或银行卡验证

0x02 基础设施分析

主要IP地址

  1. 45.116.214[.]135 (中国香港)

    • 解析多个钓鱼域名如kjhdf.uno
    • 相关域名最早注册于2022年2月21日

  2. 47.57.138[.]120 (中国香港)

    • 操纵钓鱼页面数据
    • 发送手机验证码等后台操作

核心域名架构

  • ganb.run (注册于2021年12月21日)
    • 作为CNAME记录被约4000多个子域指向
    • 涉及830多个顶级域名(.fun, .pro, .uno等)
    • 解析服务器主要使用dynadot.com和dnsowl.com

域名注册特征

  • 85%的恶意域名注册于2022年
  • 使用随机字符串作为子域(如546a2cd984338f4ec6091d63c394be61.kjhdf[.]uno)
  • 近期活动使用.xyz等新顶级域

后台API域名

  • 如api.ganbganb.run、api.klhjsw.fun等
  • 大多解析至中国香港服务器
  • 4月下旬后架构调整,前后端分离以隐藏API

0x03 攻击活动时间线

  1. 2021年12月21日:注册ganb.run域名,开始钓鱼活动
  2. 2022年2月
    • 钓鱼活动被邮件安全厂商披露
    • 发现注册人信息(高友恒,zq50zk@163.com)
  3. 2022年4月下旬
    • 采用新基础设施架构
    • 使用DGA(域名生成算法)技术生成随机子域
  4. 持续至今:攻击者不断更新系统和基础设施

0x04 防御建议

  1. 邮件安全

    • 警惕"补贴"、"ETC"等民生相关主题的邮件
    • 验证发件人真实性,不轻信看似内部邮箱的邮件

  2. 终端防护

    • 不随意扫描不明来源的二维码
    • 安装可靠的终端安全软件

  3. 网络防护

    • 拦截已知恶意IP和域名
    • 监控异常DNS查询(特别是.uno、.xyz等新顶级域)

  4. 安全意识

    • 定期进行钓鱼演练
    • 教育员工识别钓鱼邮件的特征

  5. 技术防御

    • 部署威胁情报系统,及时更新IOC(入侵指标)
    • 监控WebSocket等非常规通信协议

0x05 参考资源

  1. 奇安信威胁情报中心原文: https://mp.weixin.qq.com/s/qGbwJJ5oGn4tdnFadq0c8g
  2. 相关安全厂商报告: https://www.cacter.com/news/672

本教学文档基于奇安信威胁情报中心的分析报告整理,完整呈现了钓鱼攻击的技术细节和基础设施特征,可作为安全研究和防御部署的参考。

钓鱼邮件诈骗技术及基础设施分析教学文档 0x00 背景概述 2022年4月中旬,搜狐公司遭遇一起精心策划的钓鱼邮件诈骗攻击。攻击者发送伪装成"工资补贴"的钓鱼邮件,邮件附件为包含二维码的doc文档。扫描二维码后,受害者会被引导至钓鱼网站(http://* .kjhdf[ . ]uno/),该网站会收集银行卡、身份证、手机号等敏感信息。 攻击特点 使用之前通过钓鱼获取的真实邮箱地址作为发件人,增加可信度 钓鱼活动可能始于2021年12月底,已使用约6000个域名 攻击者持续更新系统和基础设施 0x01 攻击技术分析 钓鱼页面技术实现 设备检测 :使用Jump.js检测访问环境,非移动端会重定向到pc.html 会话跟踪 :生成用户Cookie保持会话 动态配置 :从后台接口(如http://api.khjqwe[ . ]uno/)加载配置 实时通信 :建立WebSocket连接实现实时交互 信息收集流程 仿冒"工资补贴"或"中国*** 在线认证中心"页面 分步收集以下信息: 银行卡号 姓名 身份证号 手机号 信用卡有效期和CVN码 信用额度 卡内余额 进行短信或银行卡验证 0x02 基础设施分析 主要IP地址 45.116.214[ .]135 (中国香港) 解析多个钓鱼域名如kjhdf.uno 相关域名最早注册于2022年2月21日 47.57.138[ .]120 (中国香港) 操纵钓鱼页面数据 发送手机验证码等后台操作 核心域名架构 ganb.run (注册于2021年12月21日) 作为CNAME记录被约4000多个子域指向 涉及830多个顶级域名(.fun, .pro, .uno等) 解析服务器主要使用dynadot.com和dnsowl.com 域名注册特征 85%的恶意域名注册于2022年 使用随机字符串作为子域(如546a2cd984338f4ec6091d63c394be61.kjhdf[ . ]uno) 近期活动使用.xyz等新顶级域 后台API域名 如api.ganbganb.run、api.klhjsw.fun等 大多解析至中国香港服务器 4月下旬后架构调整,前后端分离以隐藏API 0x03 攻击活动时间线 2021年12月21日 :注册ganb.run域名,开始钓鱼活动 2022年2月 : 钓鱼活动被邮件安全厂商披露 发现注册人信息(高友恒,zq50zk@163.com) 2022年4月下旬 : 采用新基础设施架构 使用DGA(域名生成算法)技术生成随机子域 持续至今 :攻击者不断更新系统和基础设施 0x04 防御建议 邮件安全 警惕"补贴"、"ETC"等民生相关主题的邮件 验证发件人真实性,不轻信看似内部邮箱的邮件 终端防护 不随意扫描不明来源的二维码 安装可靠的终端安全软件 网络防护 拦截已知恶意IP和域名 监控异常DNS查询(特别是.uno、.xyz等新顶级域) 安全意识 定期进行钓鱼演练 教育员工识别钓鱼邮件的特征 技术防御 部署威胁情报系统,及时更新IOC(入侵指标) 监控WebSocket等非常规通信协议 0x05 参考资源 奇安信威胁情报中心原文: https://mp.weixin.qq.com/s/qGbwJJ5oGn4tdnFadq0c8g 相关安全厂商报告: https://www.cacter.com/news/672 本教学文档基于奇安信威胁情报中心的分析报告整理,完整呈现了钓鱼攻击的技术细节和基础设施特征,可作为安全研究和防御部署的参考。