文章总结： 本文通过ZoomEye平台对银狐木马钓鱼网站进行拓线分析，从单个钓鱼网站出发，通过多轮特征提取和查询，最终发现2639个恶意网站。分析揭示了攻击者使用统一模板、批量注册域名、短周期SSL证书等行为习惯，展现出组织化运营能力。文章提供了详细的IOC信息，建议安全厂商将这些信息纳入检测规则，提升对钓鱼攻击的防护能力。 综合评分： 89 文章分类： 威胁情报,恶意软件,漏洞分析,WEB安全,应急响应

3.1. 线索1

ip="24[.]233[.]31[.]22"

通过该查询语句，搜索到203条结果，经过人工确认并不是钓鱼网站。因此，本条线索不能作为拓线依据。

3.2. 线索2

title="飞书 桌面版"

通过该查询语句，搜索到11条结果，逐个查看确认查询结果均是钓鱼站点，该线索可以作为拓线依据。

通过该查询语句，搜索到1919条结果。该特征字符串作为线索查询到的结果较多，经过我们人工抽检确认结果都是钓鱼站点。

同样查看结果页面右侧的”标题”统计数据，又发现了新的下载软件名称：爱思助手、Chrome浏览器、小红书。

4. 第二层拓线

参考资料

第一层拓线是以单个钓鱼网站为基础，寻找具有较强唯一性的特征，尝试将特征作为拓线线索。由于基础仅仅是单个网站，样本较小，找到的特征可能不具备较强的普适性。

本章节以第一层拓线得到的1931条结果的网络资产数据作为基础，尝试关联出更多具有较强特征性的线索，作为第二层拓线的线索。

4.1. 线索1

可以使用ZoomEye平台的聚合分析功能，查看结果的统计数据，以寻找特征。如下图所示，我们统计结果的标题，发现这些钓鱼网站以多个热门软件下载作为诱饵。

4.3. 小结

在第二层拓线中，基于标题内容和网页中的GIF图片名称，找到10条特征线索作为拓线依据。结合第一层拓线中找到的4条特征线索，去重后共计13条线索作为拓线依据。

我们将这13条线索合并为一条查询语句，总计搜索得到 2639 条结果。

title="飞书 桌面版" || http.body="http://nmneeqx.cn//as/static/js/landpage_index.jsregistry-intl.cn-hongkong.aliyuncs.com.js" || http.body="20190706125618443.png" || http.body="同时支持多标签浏览模式，每个标签页面都在独立的“沙箱”内运行，在提高安全性的同时，一个标签页面的崩溃也不会导致其他标签页面被关闭。" || (title="爱思助手" && domain!="i4.cn") || title="DeepL 桌面版" || title="小红书 桌面版" || title="美洽 桌面版" || title="Snipaste 桌面版" || title="Anydesk 桌面版" || title="汽水音乐 桌面版" || title="Facebook 桌面版" || http.body="20190706125636598.gif"

5. 拓线结果分析

参考资料

基于第二层拓线后获取的 2639 条钓鱼网站数据，我们针对这批恶意基础设施进行分析。

通过Virustotal网站查询，结果数据中部分域名、IP、下载文件，已被标记为恶意。

5.1. 数据统计分析

• 2639 条数据中，涉及 1285 个域名；其中”.top”域名最多，数量为 989 ，占比 76.96% ；”.cn”和”.icu”域名次之，数量分别是 80 个和 70 个。
• 2639 条数据中，涉及 609 个IP地址；其中属于”149.30.169.0/24″网段的IP最多，数量为 125 个，该网段运营商为”PSINet”；属于”156.224.200.0/24″、”156.224.202.0/24″、”156.224.203.0/24″、”156.224.201.0/24″网段的IP数量次之，分别是 43 个、38 个、35 个、35 个，这4个网段的运营商为”CloudFly”。
• 2639 条数据中，涉及 18 个端口；其中 443 端口数据最多，数量为 1559 ，占比 59.08% ； 80 端口次之，数量为 840 ，占比 31.83% 。

5.2. 行为习惯分析

• 注册域名惯用高相似度无意义字符命名，如下图所示：

• 使用可配置化钓鱼模板，通过 字段来看，超过 80% 网站使用相同描述文字：

  本站下载为您提供【软件名】电脑版官方版下载，【软件名】(Google 【软件名】)是由Google公司开发的一款快速、安全且免费的网络浏览器。【软件名】官方版最大的特点是简洁、快速，能很好的满足网站对浏览器的要求，多进程架构，很大程度上避免了因恶意网页和应用软件的侵入而崩溃。同时支持多标签浏览模式，每个标签页面都在独立的“沙箱”内运行，在提高安全性的同时，一个标签页面的崩溃也不会导致其他标签页面被关闭。

• 网页 <title> 字段与关键词、描述中出现的软件名称一致，进一步佐证模板化构造。

• 下载文件惯用压缩格式文件，超90%的下载文件为zip压缩格式，推测是规避浏览器、杀毒软件对 exe文件直接下载的拦截，同时诱导用户解压并运行。

• 下载文件命名惯用 【软件名】+”setup” 的组合，目的是尽可能诱导用户解压并运行。

i4Too36_Setup_x64.zip
爱思i4-Setup-XP-Win_Installer.zip
Chrome_Setup_64bit.zip
AnyDesk_Setup_x64.zip
iTools_Setup_x64.msi

• 网站SSL证书惯用”Let’s Encrypt”生成，93% 的SSL证书是使用”Let’s Encrypt”生成，其缺点是SSL证书有效期仅为90天，需要定期更新。
• 惯用多个钓鱼域名解析到同一个IP的方式，例如IP地址”156[.]251[.]25[.]112″承载了 292 个不同钓鱼域名。其目的是降低部署成本（同一台服务器），并且可快速应对域名被封的情况。

6. 结 语

参考资料

通过对银狐钓鱼网站的拓线分析，我们识别出 2639 个恶意网站，展现出攻击者的组织化运营能力。总结如下：

• 模板统一：页面样式、描述文字高度一致，采用统一模板覆盖多个热门软件下载场景，降低部署成本的同时提升迷惑性。
• 域名批量注册：惯用无语义随机字符组成的域名，集中解析至同一IP，形成钓鱼集群；例如IP地址”156[.]251[.]25[.]112″承载 292 个钓鱼域名。
• SSL证书短周期自动化申请：93% 的SSL证书使用 “Let’s Encrypt” 签发的证书，可配合自动化脚本快速部署与替换。
• 文件诱导手段明确：下载文件多为 “.zip” 格式，内嵌伪装为 setup 的可执行程序，规避拦截的同时诱导用户手动运行。

本次拓线分析表明，攻击者具备较强的资源整合与自动化部署能力。建议各安全厂商将本报告中涉及的域名和IP地址纳入检测规则中，提升对该类钓鱼攻击的覆盖能力。如需获取完整的IOC列表信息，欢迎联系我们知道创宇404实验室。

7. 参考链接

参考资料

1. 银狐情报共享第2期｜银狐武器库更新，加装RootKit实现多重隐身
2. ZoomEye网络空间搜索引擎https://www.zoomeye.org

往 期 热 门

(点击图片跳转）

戳“阅读原文”更多精彩内容!

查看原文：《原创 Paper | 从钓鱼网站到银狐家族拓线实战》