iT邦幫忙

2024 iThome 鐵人賽

DAY 9
0
Security

資安這條路:系統化學習藍隊技術系列 第 9

Day9:藍隊提升技術力: 網路釣魚分析(4)─實作分析釣魚網站

  • 分享至 

  • xImage
  •  

Day9

除了分析釣魚信件本身的內容之外,通常釣魚信件會包含

  1. 釣魚連結
  2. 釣魚網站
  3. 惡意檔案

因此我們介紹遇到這些內容該如何分析。

為什麼要學習識別和回應釣魚威脅

  • 釣魚連結:學習識別和分析網址可以幫助識別隱藏在看似正常網址中的攻擊。了解域名和IP地址的資訊有助於追蹤和回應這些威脅。
  • 釣魚網站:分析網站內容和使用的技術,包括TLS證書、網站架構等,有助於判斷網站是否用於惡意目的。
  • 惡意檔案:了解檔案如何操作和潛在的危險行為(如試圖連結到C2伺服器)是識別和中止攻擊的關鍵。

建立防禦策略

  • 透過分析實際案例,藍隊可以為組織建立更精確的防禦策略,設計有效的安全政策和應對措施。
  • 了解攻擊的特點和攻擊者的技術,有助於藍隊訓練其他員工識別和避免類似威脅。

釣魚網站模擬進行分析

僅供學術研究請勿使用於惡意攻擊
https://github.com/fei3363/phishing_demo/tree/main

工具使用

URL2PNG 查看釣魚網站截圖

  • 輸入 URL
  • 點擊「開始」
  • 提供網頁的螢幕截圖
    image

可以看到針對

https://fcu-d0449763.github.io/phishing_demo/

這個網站出現的是 Facebook 的網站

使用 urlscan 進行分析

  • 輸出網址(免費會公開連結,請注意隱私)
  • urlscan
    • 網站截圖
    • 使用技術
    • 信任分數
    • 域名與 IP 資訊

image

URLScan.io 分析結果

  1. URL 和域名資訊
  2. 掃描資訊
    • 掃描時間: 2024年9月23日 15:13:37 UTC
    • 掃描位置: 德國
    • 提交來源: 台灣
  3. 網站活動摘要
    • 聯繫了 2 個 IP 地址
    • 跨越 3 個域名
    • 執行了 3 次 HTTP
    • 主要 IP 位於美國,屬於 FASTLY
  4. 安全評估
    • URLScan.io 判斷: 潛在惡意
    • Google 安全瀏覽: 判定為惡意
    • 疑似針對 Facebook (社交網路) 進行釣魚攻擊
  5. 技術細節
    • TLS 證書: 由 DigiCert Global G2 TLS RSA SHA256 2024 簽發,有效期一年
    • 使用 GitHub Pages 作為 CDN
    • 頁面標題: "Facebook - 登入或註冊(教學用)"
  6. 頁面統計
    • 3 個請求
    • 33% HTTPS
    • 100% IPv6
    • 3 個域名和子域名
    • 81 kB 傳輸量
    • 287 kB 總大小
    • 0 個 Cookies

URLhaus 查詢 URL 惡意資料庫

https://urlhaus.abuse.ch/

  1. URL 被新增於資料庫的日期
  2. URL 目前的狀態
  3. 可能擁有的惡意軟體類型
  4. 回報該 URL 的使用者名稱

image

PhishTank查詢 URL 惡意資料庫

  • 與 URLhaus 相似

VirusTotal

  1. 針對網址、檔案、雜湊值掃描
  2. 評分機制
  3. 了解防毒軟體對於這些網站是否是惡意

image

VirusTotal 分析結果

  1. URL 評分
    • 14/92 個安全廠商將此 URL 標記為惡意
    • 評分為 14 分
  2. URL 資訊
  3. 檢測為惡意的主要廠商
    • alphaMountain.ai, BitDefender, CRDF, CyRadar, Emsisoft, ESET, Fortinet, G-Data, Kaspersky, Lionic, Netcraft, Sophos, Trustwave, Webroot
  4. 檢測為乾淨的主要廠商
    • Abusix, Acronis, ADMINUSLabs, AILabs, AlienVault, Antiy-AVL, Dr.Web, Google Safebrowsing, Juniper Networks, K7AntiVirus, Quttera, Rising, Sangfor 等
  5. 未評級的廠商
    • 0xSI_f33d, AlphaSOC, ArcSight Threat Intelligence, AutoShun, Bkav, Cluster25, Cyan, Ermes 等

Malware Sandboxing(惡意軟體沙箱)

  1. 沙箱的定義與目的:

    • 沙箱是在一個受控環境中執行可疑軟體的過程
    • 目的是密切監控軟體的行為,收集威脅指標(IOCs)
    • 例如監控網路流量,觀察惡意軟體是否試圖與命令控制(C2)伺服器通訊
  2. 沙箱的價值:

    • 幫助理解惡意軟體的運作方式
    • 便於建立可以檢測和警報類似活動的防禦機制

Hybrid Analysis平台介紹

  • 一個線上惡意軟體分析平台
  • 允許上傳可疑檔案進行即時雲端分析
  • 提供詳細的觀察到的活動報告

使用步驟

  • 上傳檔案:拖放或瀏覽選擇
  • 選擇作業系統:可以針對特定作業系統的惡意軟體進行分析
  • 生成公開報告

分析結果包括

  • 檔案資訊(如SHA256哈希值)
  • 威脅評分
  • 行為分類
  • 網路通訊
  • 檔案系統更改
  • 進程活動等

Hybrid Analysis 的優點

  • 免費且易於使用
  • 適合安全研究人員
  • 提供詳細分析和信譽檢查

總結

釣魚攻擊是資訊安全中最常見且具威脅性的手段之一。藍隊初學者需要學習如何識別和分析釣魚連結、釣魚網站以及惡意檔案,以提升組織的安全防禦能力。透過使用工具如 URL2PNG、urlscan.io、URLhaus、PhishTank、VirusTotal 和 Hybrid Analysis,可以深入分析可疑的網址和檔案,瞭解其背後的威脅。建立有效的防禦策略和培訓員工識別這些威脅,對防止釣魚攻擊至關重要。

選擇題

1. 下列哪一個工具可用於取得目標網站的截圖,方便快速瞭解網站的外觀和內容?

A. URL2PNG
B. URLhaus
C. VirusTotal
D. Hybrid Analysis

答案:A

解析:URL2PNG 是用於生成網站截圖的工具,方便快速查看網站的外觀。URLhaus 和 PhishTank 用於查詢惡意網址資料庫,VirusTotal 用於多引擎掃描,Hybrid Analysis 是惡意軟體沙箱分析平台。


2. 使用 urlscan.io 進行網站分析時,可以獲得以下哪項資訊?

A. 網站的所有者詳細個人資料
B. 網站的 TLS 證書資訊
C. 網站的內部程式碼
D. 使用者在網站上的輸入內容

答案:B

解析:urlscan.io 可提供網站的 TLS 證書資訊、IP 位址、域名資訊和安全評估等。但不會提供網站所有者的詳細個人資料、內部程式碼或使用者的輸入內容。


3. 哪一個工具可同時使用多家安全廠商的引擎掃描網址、檔案或雜湊值,提供全面的安全評估?

A. PhishTank
B. URLhaus
C. VirusTotal
D. URL2PNG

答案:C

解析:VirusTotal 是一個多引擎檢測平台,使用多家安全廠商的引擎掃描網址、檔案或雜湊值,提供全面的安全評估。


4. 下列關於 Hybrid Analysis 的描述,何者正確?

A. 用於生成網站的截圖
B. 可以在受控環境中執行可疑檔案,觀察其行為
C. 是一個惡意網址的資料庫查詢工具
D. 專門用於分析網頁的 SEO 優化程度

答案:B

解析:Hybrid Analysis 是一個惡意軟體沙箱分析平台,允許在受控環境中執行可疑檔案,觀察其行為並收集威脅指標。它不涉及網站截圖、惡意網址查詢或 SEO 分析。


5. 為什麼在建立防禦策略時,需要分析實際的釣魚攻擊案例?

A. 因為可以從中獲得財務利益
B. 以便設計有效的安全政策和應對措施
C. 這樣就不需要培訓員工了
D. 可以完全避免所有未來的攻擊

答案:B

解析:透過分析實際的釣魚攻擊案例,可以為組織建立更精確的防禦策略,設計有效的安全政策和應對措施。同時,了解攻擊者的技術有助於培訓員工識別和避免類似威脅。其他選項的描述不符合實際情況。


上一篇
Day8:藍隊提升技術力: 網路釣魚分析(3)─實作分析 eml
下一篇
Day10:藍隊提升技術力:網路釣魚分析(5) ─ 防禦方法整理與撰寫釣魚分析報告
系列文
資安這條路:系統化學習藍隊技術30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言