国外的FireEye实验室有一套主动化体系,这套体系可以主动侦测最新注册的歹意域名。所谓的歹意域名,绝大部分都是假装成很多人知道的常用域名,以此来到达“歹意”的目的。比方说假装成苹果公司的域名——FireEye的这套体系最近就检测到了本年一季度注册的不少此类垂钓域名。
这类域名的特征便是拿手假装,跟合法域名“长得”很像。FireEye报导称,这些“伪苹果”域名针对的主要是我国和英国的苹果iCloud用户。虽然FireEye从前从前追寻过不少相似的域名,但这次的状况比较共同:这些站点的歹意垂钓内容是相同的,并且手法比较杂乱,乃至可以躲避垂钓检测体系。
众所周知,苹果用户都有个Apple ID。Apple ID可以说是苹果 *** 服务的中心账户了,贯穿于iCloud、iTunes Store、App Store等等服务。其间iCloud是苹果的云服务,实时确保用户苹果设备上的文档、相片、联系人等材料同步;此外iCloud也供给与朋友共享相片、日历、地理位置等的接口;它也能用来找回丢掉的iOS设备。
或许对很多人而言,iCloud更重要的作用是iCloud Keychain(密钥链)功用。这项功用用于存储用户的暗码、信用卡信息,这样一来用户在iOS和Mac设备上操作时,iCloud就能协助用户主动填写这些信息了。有了Apple ID、暗码,还有其他一些信息(比方生日、设备解锁码),对设备就有比较完好的操作权限,乃至可以运用信用卡信息在Apple Store购物。
而下面这些针对苹果用户的垂钓进犯,便是高度组织化,并且比较杂乱的垂钓进犯,一部分针对我国人,一部分针对英国人。
针对我国苹果用户的Zycode垂钓进犯
下面这张列表便是FireEye Labs在本年3月份检测到的、针对苹果用户的垂钓域名。当然这些域名必定都不是苹果注册的,天然也不会指向苹果的产品:
显着,黑客是想仿照和iTunes、iCloud和Apple ID相关的网站,便是要招引用户输入他们的Apple ID。拜访这些域名,绝大部分都出现Apple ID、iTunes和iCloud的登录界面;网页还布置了非常杂乱、可疑的JavaScript代码。听说关于剖析表单和依靠HTML内容的反垂钓体系而言,这些网站可以很大程度令其失效。
从调查到的成果来看,这些域名显着都是在我国注册的,并且注册用的仍是 *** 邮箱。
垂钓内容剖析
一般咱们经过简略检查HTML代码,大致就能明晰垂钓内容,理论上这些代码应该是一部分图片用来仿照苹果品牌,别的还有一些搜集用户凭据的表单。一般来说,如果是这样的话,垂钓检测体系就可以在HTML页面内容中发现问题,但在此处却失效了。
初看起来,这儿仅仅向页面建议简略的GET恳求,呼应内容却是编码过的JavaScript代码。这么一来,除非是在浏览器或 *** 模拟器中真的去履行,不然还真是看不出其实在目的。下面便是从代码中获取到的编码字符串的一部分。
编码后的字符串StrHTML,需求经过一系列杂乱的23种解密函数,包含数制转化(number system conversions)、伪随机规矩表达式的修饰符(pseudo-random pattern modifiers)等,然后还要加上采用了固定密钥“zycode”的XOR解码,最终才得到了真实的HTML垂钓内容(拜见附录1)。所以说,仅依靠于呼应部分HTML的垂钓检测体系,在此显着是底子无法发挥作用的。
一旦这些代码真实在浏览器中加载,混杂后的JavaScript也就构建起了iCloud垂钓页面,如上图所示。
这便是复原混杂后(de-obfuscated)的内容。
然后用Burp Suite东西来调查,上图展现的便是用户供给的登录和暗码信息提交到HTML表单。此处可以看到,以HTTP POST *** ,5个变量(u,p,x,y和cc)和1个cookie被发往save.php页面。
用户输入登录信息后,页面会被重定向到上面显现的“苹果”页面。有意思的是,这个页面的一切链接却是指向正确的苹果官网域名的,这些无关紧要。该页面还仅支撑中文(交心服务),“验证您的出生日期或设备屏幕锁以持续”。
若进入下一步,用户被带到ask3.asp页面。这个页面会问询你更多账户细节。
[1] [2] [3] 黑客接单网
各位在企业中做Web缝隙扫描或许浸透测验的朋友,或许会常常遇到需求对图形验证码进行程序辨认的需求。许多时分验证码分明很简略(关于非互联网企业,或许企业界网中的运用来说特别如此),但由于没有趁手的辨认...
导语:近来,腾讯游戏安全中心捕获一款网吧内传达的歹意软件。原以为是惯例的网吧盗号木马,但详细剖析之后发现并非如此。经证明该歹意软件是现在发现的首款运用Windows SMB缝隙传达,开释虚拟钱银矿机挖...
因为网络的问题,zabbix自带web模块用不了,后台研制2b,老是更新正式环境安装包,导致一向出问题,老是给他们擦屁股,早说过这事,他们不合作,现在出问题了,挺爽j_0025.gif,这锅我表明不背...
在一次缝隙赏金活动中,挖到个指令注入的洞,我先以时延作为证明向厂商提交该缝隙,厂商以国内网络环境差为由(确实得翻墙)拒收,几回交流,奉告若我能取回指定文件 secret.txt 才认可。方针是个受限环...
咱们看到许多针对电子邮件、银行、PayPal、信用卡以及其他财政凭证的网上欺诈活动。本事例与其他许多事例略有不同,愈加杂乱,旨在加大反网络垂钓东西进行剖析和阻挠的难度。它伪装成美国运通发送给客户有关帐...
0×01 前语 跟着国家对网络安全的进一步注重,攻防演练活动变得越来越重要,规划也更大。高强度的演习让无论是蓝方仍是红方都变得筋疲力尽,借用朋友圈里一位大佬的一句话:活动完毕的这一天,安全圈的气氛像春...