你租了一臺云服務器,順手起了個Python HTTP服務傳文件,傳完忘了關。這場景,和寫完代碼沒關屏幕共享差不多。安全公司Lexfo就撞上了這么一臺“忘關窗”的機器,里面攤開的不是臨時文件,而是三個正熱火朝天運行中的釣魚活動工具箱。
暴露的不是一個簡單的釣魚頁面,而是整套中間人釣魚(AiTM)作案裝備——從用來仿冒登錄頁的模板、腳本,到中轉受害者流量的組件,連文件路徑和修改記錄都晾在公網上。Lexfo把這些材料關聯到了三個仍在活躍的AiTM活動,等于一次拿到了不同團伙的“工作臺快照”。
![]()
中間人釣魚的原理不復雜:攻擊者卡在受害者和真正的登錄服務之間,用戶看到的是以假亂真的微軟或谷歌登錄頁,輸入的密碼、多因素認證通過后的會話Cookie,統統被截獲。哪怕開了兩步驗證,偷到完整會話后照樣能繞過。這套工具箱里恰好就藏著這類會話收割組件,甚至還有修改痕跡,說明攻擊者還在不斷迭代頁面細節。
三個活動出現在同一臺服務器上,不一定是同一個團伙。Lexfo特意點明,可能只是共享了基礎設施,比如租用同一臺機器、買了相同的釣魚工具包,或者某個操作者同時接了幾家的活。這種模糊性在追蹤和關停釣魚行動時尤其關鍵,一鍋端之前得先分清楚是揪住了一個人還是端掉了一個出租攤位。
對防守方來說,這種暴露是一份有時效的情報。攻擊者一旦察覺被盯著,立刻就能刪光換地方,但趁著窗口期可以比對模板、腳本特征,快速關聯其他孤立事件。但更像一個提醒:臨時搭的小服務也得納入資產清單。隨手跑個HTTP服務傳文件,哪天忘了關,可能攤開的就不是文件,而是整個非法生意的后廚。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.