现实情况
网络钓鱼者们仍然在使用欺骗形式的网站,但是他们通过修改官方网站实现了更好的效果。可能你会觉得这不可能,但是实际上这并不困难。网络钓鱼者们使用的方法和利用网站漏洞进行的各种攻击一样。由于他们不再需要自己建立一个模拟程度很高的仿冒网站,只需要修改一下官方网站,网站的域名以及页面内容,不会给用户带来任何怀疑,因此这种方式的成功性更高了。
关于网站是如何被修改的,有详细的介绍。在众多攻击方式中,利用PHP服务器的漏洞是其中最典型的一种方法。在National Cyber-Alert CVE-2008-3239 中详细介绍了这种漏洞是如何被利用的:
“在PHPizabi 0.848b C1 HFP1中的writeLogEntry函数中存在不受限的文件上传漏洞。 当服务器开启register_globals 参数时,远程攻击者可以通过CONF[CRON_LOGFILE]参数上传文件名中带有恶意代码的文件,或者通过CONF[LOCALE_LONG_DATE_TIME]参数上传文件内容中带有恶意代码的文件。”
这种攻击的独特性在于,网站开发人员不会发现自己的代码中有任何漏洞,因此也不会对网站代码进行任何修改:
“目前我们还不需要对此给出安全补丁,我们只是希望提醒用户,关闭PHP服务器中的 “REGISTER_GLOBALS”选项。这个参数不但会带来这类风险,还会给系统带来很多意想不到的风险。检查是否进行了正确的服务器配置(关闭“REGISTER_GLOBALS”),才能确保自己的网站不受攻击。”
PHP服务器供应商的这种态度是网络罪犯们最喜欢的。为了证实这一点,我在不久前曾经对多个网站进行了简单的漏洞测试,发现其中不少都存在这个漏洞。
当前研究
我刚刚读完 Tyler Moore (CRCS Harvard University)和Richard Clayton (剑桥大学计算机实验室)合著的名为《恶魔搜索:互联网主机的网络钓鱼入侵和再入侵 》的报告。报告中针对通过修改官方网站实现窃取用户敏感数据的方法进行了全方位的介绍。另外,文章还将修改官方网站的网络钓鱼方法和直接搭建仿冒网站的传统方法进行了对比:
“到目前为止,最常见的网络钓鱼方法是将原网站入侵,并植入欺骗性质的HTML页面。这种方法占到了当前网络钓鱼总数的75.8%。另一种更简单,但已经不那么流行的方式,是将网络钓鱼网站页面上传到免费服务器上。目前大约17.4% 的网络钓鱼仍然采用这种方式。”
定位风险网站
现在我们知道了网络钓鱼者喜欢直接修改官方网站,也知道了他的修改手段。可能有些人会好奇,这些网络钓鱼者是如何选择网站并知道网站存在这类安全漏洞的呢?实际上,网络钓鱼份子们也并不是神仙,他们所采用的方法很简单,就是通过现有的用来检测PHP漏洞的工具,对各个网站进行扫描。Acunetix 对网络漏洞扫描器的描述如下:
“检查你的网站和网络应用程序是否存在PHP安全漏洞,最好的方法就是使用网络风险扫描器(Web Vulnerability Scanner)。 网络风险扫描器可以针对你的整个网站进行全自动的PHP攻击风险检测。它会告诉你哪些脚本存在风险,方便你及时修补这些漏洞。”
当然,不得不承认,这类扫描的速度并不快,而且也不见得非常有效率,尤其是面对大量需要检测的网站时。Moore和Clayton的报告再次对于网络钓鱼者的惯用定位方式进行了讲解:
“在定位存在漏洞的网站时,除了采用扫描器外,通过搜索引擎也可以实现类似的效果。这种方法充分利用了搜索引擎的扫描能力,因此也被Long称作“谷歌黑客”。
Long所感兴趣的,不仅是如果定位存在风险的网站,还包括如何通过这种方式获取个人的隐私信息,只有这样,才能够更好的保护自己的信息。Long将这种搜索活动称为‘googledorks’,因为这些搜索基本上都依赖于Google 搜索语言,比如inurl’或‘intitle’等。”
上面两段内容引自Johnny Long所著的 “Google 黑客指南”。这篇文章可以告诉我们如何通过Google的搜索功能尽可能的获取网站中的敏感信息。
下面我们就来实际操作一下,看看到底能不能获取一些我们感兴趣的信息。如果你还记得CVE-2008-3239中所涉及的PHP漏洞,就知道可以将“PHPizabi 0.848b C1 HFP1”作为关键词进行搜索。我将这个关键词输入Google搜索引擎,搜索结果中很多都涉及到了这一漏洞。其中我也发现了一些对于网络钓鱼者来说很感兴趣的内容:
注:这并不是Google的错
在撰写本文时,我曾经与几个朋友谈论过这个问题,结果令我有些吃惊。有些朋友认为,谷歌应该受到谴责,并为此承担责任。而我完全反对这种观点,并且希望读者们也有和我相同的看法。
Google提供的服务使我们面对海量数据时可以轻松的检索出自己所需的信息。虽然Google在存储信息的安全方面受到质疑,但是不可否认,他的搜索引擎是最好的。在我看来,数据安全问题不在于此。
老话题
通过搜索引擎查找网站的安全漏洞并不是什么新方法。而新鲜的地方Moore 和 Clayton可以统计出搜索结果中被入侵的网站概率。他们之所以能实现这一结果,所依赖的是一个叫做 Webalizer的工具软件,这个软件可以根据Web服务器的日志建立报表。让研究人员感兴趣的是定位网站所用的记录搜索词汇:
“尤其是,Webalizer创建的一个独立子报告会显示一份用于搜索漏洞网站的搜索关键词列表。有了这份关键词列表,人们只要将某个词输入搜索引擎,点击搜索,就可以定位那些有安全风险的网站了。”
在下图中(感谢Moore 和 Clayton提供)你可以看到多个Webalizer项目于浏览器窗口中的搜索结果相对应:
报告中的重点内容
以上,Moore 和 Clayton 通过令人信服的方式向我们解释了如何将所有重要的数据聚集在一起,并通过这些信息获取我们更感兴趣的结果。一下两点是我们需要进一步体会的内容:
· 在Webalizer 的报告中通过关键词搜索到的可疑网站,有90%立即被入侵。
· 另一个令人惊讶的统计是有些网站被多次入侵。报告显示大约20%的网站有可能被再次入侵,而当Webalizer发现针对某个网站的可疑搜索词汇后,这个网站被再次入侵的概率增加到了48%。
实际上,我不明白为什么很多网站会一次又一次的被入侵。网站管理员本应对漏洞进行处理的。最后,让我们再看看研究人员是如何建议网站管理员减少网站风险的。
改进的余地
我希望网站托管服务供应商应该好好研究一下相关内容,尤其是下列建议:
· 混淆目标细节:如果服务器不公布当前Web服务软件的版本以及其他细节,那么可疑关键词的搜索结果就不会那么有效。
· 可疑搜索渗透测试: 管理员主动运行本地Web站点搜索,查看是否有安全漏洞,并通知网站负责任及时处理风险。
· 阻止可疑的搜索请求: 对于搜索引擎来说,另一种办法就是阻止提交可疑词汇的搜索请求,或者屏蔽搜索结果。
· 降低曾经被入侵的服务器的可信度:除了将当前活动的网络钓鱼网站URL标记出来之外,还需要将过去曾经被入侵的网站标记出来,以警告用户其被再次入侵的风险性。
我们能做什么
作为互联网用户,为了保护自身安全,我们所能做的事情并不太多。我曾经建议大家采用 McAfee SiteAdvisor,就连Moore和 Clayton也在他们的报告中提到了这款软件。它通过在浏览器中添加插件的方式工作:
“ 安装SiteAdvisor后,浏览器看上去会有些变化。软件会在搜索结果上添加一个小的投票图标,另外还会在浏览器上添加一个小按钮和一个搜索栏。通过这几项功能,可以帮助用户判断搜索结果中的网站是否安全。”
另外还有一种方式,就是访问PhishTank 网站 ,从中你可以知道某个网站是真实的,还是冒充的,或者被入侵过。
“PhishTank是一个通过互联网用户协作方式实现的数据和信息共享平台。同时,PhishTank还为开发人员和研究人员提供了免费的API,方便他们在自己的软件中集成反网络钓鱼数据信息。”
反网络钓鱼工作组 拥有自己的网站,在其网站上有大量与网络钓鱼相关的信息,比如当前和未来全球网络钓鱼情况的预测:
“反网络钓鱼工作组(APWG)是一个专注于消除通过网络钓鱼,网址欺骗以及电子邮件欺骗带来的欺诈和身份盗用行为的泛工业和法律组织。”
总 结
我们所有人,不论是商业用户还是个人用户,都日益依赖于互联网了。因此,当诸如网络钓鱼这样的事情击碎了人们的信任感,我倾向于亲自学习掌握识别网络钓鱼网站的方法。你是怎么看的呢?欢迎给来信与我们的编辑讨论网络安全话题。
【编辑推荐】
