當前位置:
首頁 > 新聞 > 「同形異義字」釣魚攻擊,釘釘中招

「同形異義字」釣魚攻擊,釘釘中招

*本文原創作者:expsky@MS509Team,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載,僅用於技術交流分享,禁止將相關技術應用到不當途徑


技術交流:allen.lan#hotmail.com(# > @)


同形異義字釣魚攻擊號稱「幾乎無法檢測」,是最狡猾的釣魚攻擊!這種攻擊產生的原因是國際化域名IDNs(Internationalized Domain Names)支持多語種域名,而其中一些非拉丁字元語種的字母與拉丁字元非常相似,字面看很難區分。關於

同形異義

釣魚攻擊的相關技術,freebuf上之前已有文章介紹,這裡就不再過多介紹這個技術,不清楚可以自行搜索.


0×01 騰訊、京東、支付寶、微博、淘寶已面臨同形異義字釣魚攻擊


真有這麼多網站面臨威脅?其實還不止,還有愛奇異、小米……


目前發現的威脅都是通過西里爾字母來進行混淆



上圖是

西里爾字母表

,我們可以發現有不少字母與拉丁字母相識,這就是為什麼用

西里爾字母來進行混淆的原因


瀏覽器會通過Punycode來編碼非拉丁字元的域名,編碼後就可以避免產生混淆,但發現如果域名的一個欄位里所有字元都是同一種語言,就不會進行編碼(之前freebuf上有篇文章可能是筆誤,關於這點剛好說反了)。據說這個問題chrome已經修復了,並且google還給相關發現者2000美金的獎勵。


但我還是發現chrome有時候編碼了,有時候又沒編碼



比如上面看到的「淘寶」,並沒有編碼。後面要講的釣魚攻擊對是否編碼已經不重要,所以現在就不用深究這個問題


我們先從

??.com開始

(這裡的

??.com

已不等於 jd.com了,是不是認不出來有什麼區別 ^_^)


我們嘗試註冊

??.com

,先

Punycode轉碼後再查詢



??.com

轉碼後 xn--e2a25a.com





在國內不允許註冊

Punycode轉碼後的域名




在國外的域名網站就可以正常查詢了,這裡顯示的not available是指已經被註冊了,而不是說

Punycode轉碼域名

不能註冊。之前獲得谷歌2000美金的安全人員就註冊過арр?е.com(xn--80ak6aa92e.com)這個域名



直接在瀏覽器中打開 ??.com (xn--e2a25a.com )

目前域名還沒被解析,來到了域名服務商提供的默認頁面。



繼續點擊「了解如何才能擁有此域名」,可以看到明確說明此域名已經出售。


我們還可以再做個實驗:


xiami.com蝦米是阿里旗下的音樂網站,


我們查詢

西里爾字母的х?ам?.com,這個域名就沒有被註冊,顯示的available



х?ам?.com

轉碼後 xn--80ayza2ec.com




不是所有的英文字母都有與之相似對應的西里爾字母



我嘗試了一些可以用

西里爾字母

拼出的國內知名網站



??.com 轉碼後 xn--x7aa.com (騰訊)


??.com

轉碼後

xn--y7aa.com

(騰訊)



??.com

轉碼後 xn--e2a25a.com

(京東)


а??рау.com

轉碼後 xn--80aa1cn6g67a.com

(支付寶)



???у?.com

轉碼後 xn--s1a1bab69g.com

(愛奇藝)


ТаоЬао.com

轉碼後 xn--80aa5bbq6d.com

(淘寶)



?е?Ьо.com

轉碼後 xn--e1as5bzb58e.com

(微博)



?О.com

轉碼後 xn--n1a9b.com

(360搜索)



М?.com

轉碼後 xn--l1a6c.com

(小米)




顯示全部已被註冊


又嘗試了部分以上可以用大小寫混淆的形式



???у?.com

轉碼後 xn--s1a1bb53bvo.com

(愛奇藝)


???у?.com 轉碼後 xn--s1a1bab19g.com

(愛奇藝)


?????.com

轉碼後 xn--c2aaa96axr.com

(愛奇藝)


?е?Ьо.com

轉碼後 xn--e1as5bzb08e.com

(微博)



ТАОВАО.com

轉碼後 xn--80aaf1cct.com

(淘寶)




同樣顯示已被註冊


試了這麼多域名都被註冊了,可能我們會再次懷疑是系統問題或是巧合,我在上面的

ТАОВАО後面再加個

О試試



ТАОВА

О

О

.com

轉碼後 xn--80aaf1ccaw.com





這個域名就沒有被註冊了,所以不得不懷疑以上的域名是被刻意註冊的



上圖是

??.com(

xn--e2a25a.com

)的whois信息,whois信息被隱藏保護的,其他域名也類似或者提示無法顯示或者有相關信息也無法追溯,只

追溯到

一個域名是國內安全圈的老司機註冊的,這位可能是用來做研究


0×02 實施

同形異義字

釣魚攻擊,釘釘存在安全隱患



前面提到的chrome的漏洞就是瀏覽器地址欄沒有進行

Punycode

轉碼,導致相似的文字可能產生混淆,存在釣魚攻擊的威脅。


我們這裡不管google的這個漏洞有沒有修復,換一個攻擊思路:


一般內嵌手機APP的webview是沒有地址欄的,所以轉碼也好,沒轉碼也好,用戶是看不到網址的


這裡選了兩個手機端最常見的即時聊天APP:


微信

釘釘


用域名:



ТаоВао.com

轉碼後

xn--80aaf1cct.com


在我自己的iphone上進行了試驗:




在微信里,這樣的域名無論是否加http前綴都不會自動識別為url,所以也無法點擊。(像上面baidu.com識別為url的會顯示為藍色,就可以直接點擊打開)


然後再在釘釘里進行相同的嘗試






在釘釘里三種形式都自動識別為url,點擊後就可以直接打開網址


按住手機屏幕下拉可以看到當前的url為

xn--80aaf1cct.com 即

ТаоВао.com


也就是說

在釘釘里發起

同形異義字釣魚攻擊很難防範,存在很大的安全風險

。加之前面的分析,大量這樣的釣魚網址已被註冊,隨時可能面臨威脅


這裡就沒再對其他的APP做實驗,很可能或多或少都有這樣的問題


0×03 結尾



按照慣例總有個結尾,這次就只說一句,希望馬爸爸看到這篇文章,看是否也能給個獎勵.


*本文原創作者:expsky,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

沒有身份憑證的情況下,攻擊者就能登錄FreeRADIUS
Flask Jinja2開發中遇到的的服務端注入問題研究
淺談WAF繞過技巧

TAG:FreeBuf |

您可能感興趣

黑客攻擊大多始於釣魚攻擊,而釣魚對象通常是……
疑似蔓靈花APT團伙向國內發起郵件釣魚攻擊
釣別人的魚讓別人無路可走,爐石傳說亂斗模式釣魚吧選牌攻略
梭子魚揭示網路罪犯如何利用電子郵件賬戶入侵發動橫向網路釣魚攻擊
釣魚老炮分享黑坑3種魚情變化及糗魚誘釣技巧!
男子釣到一條顏色怪異的魚,網友:釣魚的連這種魚都不認識!
釣魚中的招式
恐龍動漫:霸王龍釣魚,鯊魚咬斷它的尾巴
澳垂釣者釣魚奇遇:魚嘴裡還叼著另一條魚
釣魚的故事一:《釣魚鐵三角》
拋竿釣魚的七種垂釣技巧
釣魚達人分享五一假期釣魚攻略 附釣魚技巧和心得
俄為示國威上演「釣魚」!美潛艇被猛毆致殘,如死魚翻滾
釣魚技巧:用搓餌捏成三角形裝鉤,竟然釣這麼多!
海釣·故事︱驚險一刻!開著摩托艇去釣魚,卻被鯊魚群包圍…
男子釣魚時,疑被「魔鬼魚」刺死
老式釣魚竿釣友分分鐘甩竿釣的大鯉魚,秘訣在這裡!
防範釣魚郵件,讓黑客無所遁形
釣魚-這四種情況下採用浮釣方法作釣,隨便一釣都夠你牛!
男子釣魚偶遇雙色怪魚,身體黑白各半,拿起細看後果斷扔回水中