FireEye Email Security最近遇到了各种钓鱼攻击，它们主要来自美洲和欧洲，使用源代码混淆受损或错误的域名。这些域名伪装成真实的网站并窃取了信用卡数据等个人信息。然后，被窃取的信息被共享给跨平台、基于云的即时消息传递应用程序。

在繁忙的假期前夕，交付量激增，这篇文章重点介绍了一个涉及假DHL跟踪页面的网络钓鱼活动。尽管针对航运服务用户的网络钓鱼攻击并不新鲜，但这些示例中使用的技术比现有的网络钓鱼工具包中的技术更为复杂。

该行动中使用了基于WOFF的替代密码，针对本地化的目标定位以及各种逃避技术，我们将在此博客中进行阐述。

攻击流程

攻击从一封模仿DHL的电子邮件开始，如图1所示。该电子邮件试图诱使收件人单击链接，这会将他们带到虚假的DHL网站。在图2中，我们可以看到伪造的页面要求提供信用卡详细信息，如果提交了信用卡详细信息，则将向用户提供一般响应，同时在后台将信用卡数据与攻击者共享。

图1：DHL网络钓鱼尝试

图2：模仿DHL跟踪的虚假网站

此DHL网络钓鱼活动使用了一种罕见的技术来混淆其源页面。页面源包含正确的字符串、有效的标记和格式，但是其所包含编码的文本将在加载页面之前呈现出乱码而无需解码，如图3所示。通常，对此类文本进行解码是通过在代码中包含脚本函数来完成的。但是在这种情况下，脚本中不包含解码函数。

图3：页面源中的编码文本片段

解码是由一个Web开放字体格式（WOFF）字体文件完成的，该文件在将页面加载到浏览器中时发生，并且在页面内容本身中不可见。图4显示了替换密码方法和WOFF字体文件。攻击者这样做是为了逃避安全厂商的检测，许多安全厂商使用基于静态或regex签名的规则，因此此方法将打破那些基于以往的规则。

图4：WOFF替换密码

在层叠样式表（CSS）中加载这个解码文本的自定义字体。由于JavaScript函数通常用于加密和解密HTML文本，因此这种技术很少见。

图5：用于加载WOFF字体文件的CSS文件

图5显示了用于加载WOFF字体文件的CSS文件。我们还看到了相同的CSS文件style.css，托管在以下域上：

· hxxps：//www.lifepointecc [。] com / wp-content / sinin / style.css

·hxxps：// candyman-shop [。] com / auth / DHL_HOME / style.css

· hxxps：//mail.rsi-insure [。] com / vendor / ship / dhexpress / style.css

·hxxps：//www.scriptarticle [。] com / thro / HOME / style.css

到目前为止，这些看起来合法的域名尚未托管任何钓鱼网站。相反，它们似乎是攻击者可以在其网络钓鱼活动中使用的存储库。过去，我们曾看到过类似的针对银行业的网络钓鱼攻击，但这对于快递网站来说是较为稀有的。

重要的技术

本土化

网上诱骗页面根据目标用户的区域显示本地语言。本地化代码（图6）支持在欧洲和美洲使用的主要语言，例如西班牙语、英语和葡萄牙语。

图6：本地化代码

后端包含每种受支持语言的PHP资源文件（图7），这些资源文件是根据用户的IP地址位置动态获取的。

图7：语言资源文件

逃避

该活动采用了多种技术来逃避检测。如果请求来自某些被阻止的IP地址，则该页面将不提供钓鱼页面。在以下情况下，后端代码（图8）为用户提供“ HTTP / 1.1 403 Forbidden”响应header：

· IP被查看过五次（AntiBomb_User func）

·IP主机解析为其禁止使用的主机名列表（‘google’, ‘Altavista’, ‘Israel’, ‘M247’, ‘barracuda’, ‘niw.com.au’ and more) (AntiBomb_WordBoot func)

· IP位于其自身的本地阻止列表csv（工具包中的x.csv）中（AntiBomb_Boot func）

·IP已经发布过3次帖子（AntiBomb_Block func）

图8：后端规避代码

在查看被阻止主机的列表之后，我们可以推断出攻击者正在尝试阻止Web爬虫。

数据盗窃

网络钓鱼活动背后的攻击者试图窃取凭证、信用卡数据和其他敏感信息。窃取的数据将发送到攻击者控制的电子邮件地址和电报通道。我们发现了一个Telegram通道，该通道使用图9所示的Telegram Bot API发送数据。

图9：聊天记录

虽然使用php mail（）函数发送被盗的凭证非常普遍，但是在不久的过去，加密的即时消息传递应用程序（例如Telegram）已被用于将钓鱼信息发送回命令和控制服务器。

我们能够访问由攻击者控制的电报通道之一，如图10所示。聊天中发送的敏感信息包括IP地址和信用卡数据。

图10：信息被盗的电报频道

结论

攻击者（尤其是网络钓鱼者）一直在寻找逃避安全产品检测的新方法。模糊处理为攻击者提供了方便，并使安全供应商更难保护其客户。

通过使用即时消息传递应用程序，攻击者可以实时获取用户数据，一旦受害者的个人信息遭到破坏，受害者几乎没有任何反应。

妥协指标（IOC）

FireEye Email Security利用FAUDE（FireEye高级URL检测引擎）保护客户免受此类网络钓鱼威胁的侵害。与依赖于网络钓鱼URL内容的静态检查的传统反网络钓鱼技术不同，FAUDE使用多个人工智能（AI）和机器学习（ML）引擎来更有效地阻止这些攻击。

从2020年12月到发布之时，我们的FAUDE检测引擎看到了100多个独特的URL，这些URL托管DHL网络钓鱼页面，其中包含模糊的源代码，包括：

· hxxps：// bit [。] ly / 2KJ03RH

· hxxps：// greencannabisstore [。] com / 0258 / redirect-new.php

· hxxps：// directcallsolutions [。] co [。] za / CONTACT / DHL_HOME /

· hxxps：// danapluss [。] com / wp-admin / dhl / home /

· hxxp：//r.cloudcyberlink [。] digital /

电子邮件地址

medmox2k@yandex[.]com

o.spammer@yandex[.]com

cameleonanas2@gmail[.]com

电报用户

@Saitama330

@cameleon9

style.css

Md5: 83b9653d14c8f7fb95d6ed6a4a3f18eb)

Sha256: D79ec35dc8277aff48adaf9df3ddd5b3e18ac7013e8c374510624ae37cdfba31

font-woff2

MD5: b051d61b693c76f7a6a5f639177fb820

SHA-256: 5dd216ad75ced5dd6acfb48d1ae11ba66fb373c26da7fc5efbdad9fd1c14f6e3

域

网址

tps://p9-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/2e7469ef9bee4b42919eadffc5777a60~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image" style=“margin: auto” />

## 题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！