改进版支付宝钓鱼过nis

wjcharles

见样本区http://bbs.kafan.cn/thread-1133628-1-1.html
好东西啊，好久没见能完整运行的了
样本过360主防、网购保镖，不过据MJ说现在已经能杀了，见leisong测试http://bbs.kafan.cn/thread-1134008-1-1.html


支付宝支付充值页面，与最初的支付宝钓鱼不同，对这个页面应该没有改动





点击下一步后跳转到某个中间页面，作用是生成金额相同的网银向支付平台转账等订单，一般是除支付宝以外的第三方支付平台，整个过程好像有20秒，但全自动，不用像以前的样本那样需要用户介入输入验证码，而且页面非常简洁，比较不容易引起人警惕



将刚才新生成的订单提交到网银，相当于你主动为这个订单买单，完全不涉及网银部分复杂的保护、验证措施
对这个页面应该有改动，可能遮蔽了部分订单信息，但还是不完美，不过比以前的样本还多了，至少有大大的“支付宝”几个字
此时地址栏有https但没有挂锁标志，可以说这是所有支付宝钓鱼都会出现的破绽



以往刷新后会出问题，这个样本刷新后反而变得更加正常了，连挂锁标志都正常显示，而且还是Verisign所谓的加强版防钓鱼保护



正常页面熟记心中，钓鱼页面总会有破绽的。。。



那个cmd是正常的微软程序，句柄有点多，nis的文件信誉无效











完整路径: c:\users\sshss\appdata\roaming\microsoft\windows\start menu\cmd.exe
____________________________
____________________________
开发人员 Microsoft Corporation
版本 6.1.7601.17514
识别时间 2011/11/22 ( 1:06:17 )
上次使用时间 2011/11/22 ( 1:42:13 )
启动项目 否
____________________________
____________________________
可靠
通常情况下，使用此程序很少崩溃。
____________________________
多数用户信任的文件
诺顿社区中有数百万用户使用了此文件。
____________________________
发布已久的文件
该文件已在 10 个月 前发行。
____________________________
信任
诺顿为此文件指定的分级为可信。
____________________________
源文件:
winrar.exe

创建的文件:
双击打开.exe

创建的文件:
cmd.exe
____________________________
性能
平均资源使用率:低
平均CPU 使用率:低
平均内存使用率:低
____________________________
性能警报
时间:
2011/11/22 1:35:40

进程 ID 0
CPU 正常
内存 正常
句柄计数 38,286
磁盘读取活动 正常
磁盘写入活动 正常
____________________________
网络
协议远程连接端口
TCPpay.renren.com (58.205.210.236)HTTP
TCPpay.renren.com (58.205.210.236)HTTP
TCPpay.renren.com (58.205.210.236)HTTP
TCPpay.renren.com (58.205.210.236)HTTP
TCPpay.renren.com (58.205.210.235)HTTP
TCPpay.renren.com (58.205.210.234)HTTP
TCPpay.renren.com (58.205.210.234)HTTP
TCPwww.yeepay.com (58.83.141.70)HTTPS
TCPwww.yeepay.com (58.83.141.70)HTTPS
TCPwww.yeepay.com (58.83.141.70)HTTPS

____________________________
文件指纹 - SHA:
17f746d82695fa9b35493b41859d39d786d32b23a9d2e00f4011dec7a02402ae
____________________________
文件指纹 - MD5:
ad7b9c14083b52bc532fba5948342b98
____________________________


ie9浏览器，其中nis的所有浏览器组件都启用，反钓鱼网站的表现比ie9自带的“挂锁”还差一点，至少那个“挂锁”在页面刷新前还是有参考价值的






不过nis的性能监控歪打正着，提示了一下




另外用chrome可以正常支付，网银页面没有被影响

非专业总结一下这个支付宝钓鱼改进的地方：

1.在支付宝范围内的页面都正常（从表面上看），跳转到攻击者的支付链接无需用户介入（如输入验证码什么的），整个流程更加顺畅
2.在工商银行的页面刷新后正常显示挂锁标志（此时的页面是工行原版还是修改过的？请高手分析）
3.样本的动作由合法的cmd.exe执行，可能导致白名单之类的防护措施失效，不过这应该已经不是第一个用这种技巧的此类样本了
4.把钱转到多个支付平台，至少包括pay.renren.com和www.yeepay.com

andoyi

说实话，对于非计算机专业的我来说，看不懂啊

嵩弦离合

NIS，现在才感觉到它的强大啊，呵呵呵，不过钓鱼更是层出不穷，关键还是看自己的判断，杀软只是一个辅助啊

leisong

======另外用chrome可以正常支付，网银页面没有被影响=======

是不是所有的CHROME都没被影响，我用360CHROME，没见劫持迹象

wjcharles

leisong 发表于 2011-11-22 11:55
======另外用chrome可以正常支付，网银页面没有被影响=======

是不是所有的CHROME都没被影响，我用360CH ...

是的，一直是这样，应该是只针对基于ie内核的浏览器，其他的比如webkit这种都不受影响
问题是可能有的网银不支持chrome，只能用ie

huojianxiong

主要用于对付不熟悉的和比较熟悉进而掉以轻心的用户，处处是陷阱啊

leisong

wjcharles 发表于 2011-11-22 12:29
是的，一直是这样，应该是只针对基于ie内核的浏览器，其他的比如webkit这种都不受影响
问题是可能有的 ...

我用IE6也没见到你说的那个跳转页面啊。下面是在IE6下点击充值后的页面

wjcharles

leisong 发表于 2011-11-22 12:40
我用IE6也没见到你说的那个跳转页面啊。下面是在IE6下点击充值后的页面

不好意思，中间一个页面我忘了放了
选择网上银行支付，随便选一个进去

leisong

wjcharles 发表于 2011-11-22 12:45
不好意思，中间一个页面我忘了放了

下一步还是没有，我倒是想看看360的防支付页面劫持有没有用

wjcharles

leisong 发表于 2011-11-22 12:47
下一步还是没有，我倒是想看看360的防支付页面劫持有没有用

不要选择支付宝卡通，要选网上银行支付，像我那副图一样