使用Homograph的复杂鱼叉渗透分析-黑客接单平台

访客5年前黑客工具630
在曩昔的几个月里,咱们做了一些有关创立 *** 垂钓电子邮件的研讨,这些创立的垂钓邮件足以诈骗那些专业的安全人员。因而,咱们正在研讨一个适当陈旧的安全论题:Punycode域和IDN同形异义词进犯。 Punycode是一种特别的编码,用于将Unicode字符转换为ASCII。这儿运用bücher.example的示例域来阐明其编码进程。 bücher转换为Punycode成果为bcher-kva。然后以xn--为前缀,生成xn--bcher-kva。因而DNS记载为xn--bcher-kva.example。 但这也能够用来诈骗用户拜访歹意的URL。2019年,Xudong Zheng撰写了一篇关于运用Unicode域进行 *** 垂钓的博文。他们为apple.com创立了一个PoC域,并运用了西里尔字母‘a’ – ,而浏览器以Unicode表明,这使得即便是有经历的用户也很难发现进犯。与此同时,除Firefox之外的一切浏览器都默许以Punycode表明,尽管这消除了Web浏览器中的大多数进犯。但针对邮件的诈骗进犯呢? 能够说Unicode域似乎是完成近乎完美的 *** 垂钓邮件的一种办法。 为了创立一个PoC,咱们注册了域а1.digital,其间‘а’等同于西里尔字母的а (U+0430)。 咱们感兴趣的是干流的电子邮件客户端是怎么处理从Punycode域发送的电子邮件的,以及他们选用哪种安全机制来经过此特定向量发现潜在的 *** 垂钓进犯。 咱们查看了以下产品: Outlook for Windows Outlook Mobile Office365 Web (outlook.office365.com) Gmail Web Gmail Android Mail for iPhone Thunderbird 咱们测验了不同的向量: 发送电子邮件运用Punycode编码的“FROM”字段 (示例:FROM: Bud Spencer ) 发送电子邮件运用Unicode编码的“FROM”字段 (示例:FROM: Bud Spencer ) 发送带有合法“FROM”字段的电子邮件,但运用Punycode编码或Unicode编码的电子邮件地址假造“Reply-To”(示例:FROM: Bud Spencer , Reply-To: Bud Spencer ) 场景如下:Bud Spencer(bud.spencer@a1.digital)遭到歹意进犯者的假充,Terence Hill写了一封包含以下内容的电子邮件: Hello Terence,You can find the registration link for our security awareness training below:https://а1.digital/security-awareness-trainingKind RegardsBud 成果如下表: 鄙人文中,咱们将介绍此研讨的具体成果,包含测验应用程序的屏幕截图以及成功的进犯向量。 Outlook for Windows 测验版别为:Office 365 16.0.11328.20286 以下电子邮件是运用Punycode编码的“FROM”字段发送的 如上所示,Outlook会向用户宣布正告。但大多数用户都不会留意到正告。咱们进行下改善,运用合法的“FROM”字段但“Reply-To”字段运用Punycode编码,创立内容如下: 能够看到没有正告!以下截图显现,在回复假电子邮件时无法辨认进犯。请留意,在该示例中,受害者正在回复进犯者。 留意:Outlook 2019在收到上述假电子邮件时以Punycode表明。运用Unicode编码的“FROM”字段感知 *** 垂钓电子邮件时,进犯将无法辨认。 Outlook Mobile for Android 测验版别为:3.0.63 (319) 测验电子邮件别离以Unicode和Punycode编码发送。可是,如下所示Outlook for Android一直以Punycode表明,答应用户检测进犯。 Office365 Web (outlook.office365.com) 下面的电子邮件是运用а1.digital的Unicode表明发送的 – 在这种情况下,用户无法辨认此 *** 垂钓电子邮件,即便在回复时也是如此。 Gmail Web 而Gmail就十分有意思了 – 它是现在运用最广泛的 *** 邮件之一。收到电子邮件(Punycode发件人,以Unicode格局发送时,Gmail服务器将不会承受该电子邮件)时,无法检测到 *** 垂钓进犯。此外,Google垃圾邮件维护服务也未将其归类为垃圾邮件。 在扩展的具体信息中能够看到,电子邮件是由xn--1-7 *** .digital签名的 – 这是由于DKIM签名。咱们运用了一个外部电子邮件提供商签名一切传出邮件 – 咱们当然能够在设置咱们自己的电子邮件服务器时停用它,这将会让进犯更为荫蔽。缺陷是,假如没有有用的DKIM签名,SPAM得分就不会那么好。 最有意思的是,在回复 *** 垂钓邮件时,Gmail会经过以下音讯正告用户: [1][2]黑客接单网

相关文章

代码共享:运用Python和Tesseract来辨认图形验证码

 各位在企业中做Web缝隙扫描或许浸透测验的朋友,或许会常常遇到需求对图形验证码进行程序辨认的需求。许多时分验证码分明很简略(关于非互联网企业,或许企业界网中的运用来说特别如此),但由于没有趁手的辨认...

网站检测提示的“Flash装备不妥”是什么缝隙?

 360站长渠道中有一个东西是“官网直达”,经过恳求能够使你的网站在360搜索成果中加上“官网”字样的标识,百度也有这样的东西,不过是收费的,所以趁着360还没收费,有爱好的朋友可认为自己的网站恳求一...

根据机器学习的web反常检测

Web防火墙是信息安全的第一道防地。跟着网络技能的快速更新,新的黑客技能也层出不穷,为传统规矩防火墙带来了应战。传统web侵略检测技能经过保护规矩集对侵略拜访进行阻拦。一方面,硬规矩在灵敏的黑客面前,...

Faraday:一款多功能协同式浸透测验东西&缝隙办理渠道

今日给咱们介绍的是一款名叫Fareday的东西,它是一款协同式多功能浸透测验及缝隙办理渠道。 新版本的Faraday引入了一个新的概念,即IPE(整合型浸透测验环境),也便是所谓的多用户浸透测验IDE...

用零宽度字符水印揭穿泄密者身份

零宽度字符是躲藏不显现的,也是不行打印的,也便是说这种字符用大多数程序或编辑器是看不到的。最常见的是零宽度空格,它是Unicode字符空格,就像假如在两个字母间加一个零宽度空格,该空格是不行见的,表面...

用于浸透测验WordPress的Ruby结构:WordPress Exploit Framework

这个Ruby结构包括一些能够浸透测验WordPress网站和体系的模块,用户也能够自己开发模块扩展其功用。 运转它需求什么条件? 保证体系上装置了Ruby 2.2.x,翻开一个指令行窗口,切换当时目录...