技术分享——基于误植域名的水坑攻击实践

技术分享——基于误植域名的水坑攻击实践自90年代以来,误植已经被认知甚至是滥用,主要用于网络钓鱼,但是对于水坑攻击来说仍然是有利可图的。让我们来一探究竟吧!

欢迎大家来到IT世界,在知识的湖畔探索吧!

因为并不是每个人都拥有NSA Quantum系统那样的能力,一个穷人必须考虑一下如何以较低代价黑入目标网络,对吧?

自90年代以来,误植已经被认知甚至是滥用,主要用于网络钓鱼,但是对于水坑攻击来说仍然是有利可图的。让我们来一探究竟吧!

你会不会经常把google.com错输成google.co?我很烦这种情况但它经常发生在我身上。这种情况每天也发生在数千人身上。所以我的主要想法是查找与流行的.com网站相应的可用的.co域名,看看情况有多糟糕:测试一个恶意的误植域名搭载漏洞利用套件的场景,打造一个穷人能用的QUANTUM系统!

技术分享——基于误植域名的水坑攻击实践

漏洞攻击套件通过误植域名感染受害者的例子

例如,你可能因为漏拼一个字母而不小心访问到这些国家的顶级域名:

.com – > .cm(喀麦隆的顶级域名)

.com – > .co(哥伦比亚的顶级域名)

.com – > .om(阿曼顶级域名)

.net – > .ne(尼日尔顶级域名)

.net – > .et(埃塞俄比亚的顶级域名)

看到了吧,我们能利用的域名实在是太丰富了!接下来,我将用哥伦比亚(.co)的顶级域名做实验。

第一步:寻找流行的域名

我们来看看Alexa网站的排行榜,并寻找可用的域名。

获取最受欢迎的网站是非常容易的,这里是如何获得前2000的.com域名的方法

技术分享——基于误植域名的水坑攻击实践

我用python写了个小脚本来批量检查域名可用性:在.com域中,有320个.co域名可用(大约占16%),我选了其中8个看起来利用价值比较高的进行测试(排名靠前的大部分域名都是广告追踪器所以人们不会在地址栏手动输入,因此我把它们剔除了)。这些候选链接访问量排名全都在500和1000之间——这已足以让我们大展身手了。

第二步:搭建“水坑”服务

我在cheap VPS on CockBox上给自己买了一个便宜的VPS,用于这个测试(我获得的IP地理定位在塞舌尔共和国,真是又酷又隐蔽

这个想法是让访问者先加载一个无害的JavaScript代码,再把他们神不知鬼不觉地重定向到预期的.com网站。代码这样写就很好使:

技术分享——基于误植域名的水坑攻击实践

第三步:数钱!

啊,现在我们把所有的域名都设置好了,只等着世界各地的冤大头们来访问服务器,完美!

优点:它相当隐秘,不是基于电子邮件,受害者很可能不会看到发生了什么。

缺点:随机结果+等待时间。

结果和统计

这个实验持续了40天,我的日志文件中有5430个条目。大多数是爬虫和机器人,过滤掉它们之后我得到了共计916个独立IP对“水坑”服务器发起的1765次页面请求(大约23 次/天)。分析请求中的User-Agent值,可以确定这些请求都是人们在真正的浏览器的地址栏中手动输入URL并且输错之后引起的,那么看来这招确实有效!

遗憾的是,只有392个独立的访问者加载了我的Piwik JavaScript代码。我怀疑之所以效果不好,是因为大多数人启用了广告拦截/隐私插件。这也算是个好消息吧,虽然,如果我用上真正的漏洞利用套件的话,结果就要另当别论了。。。

有趣的是,“被劫持”的域名的分布显示出一定的地域性。一个被误植域名的伊朗新闻网站正在按照预期的方式接收许多来自伊朗的连接(在右图,我们可以看到超过50%的流量来自伊朗)。

技术分享——基于误植域名的水坑攻击实践

这次攻击的实际成本是每次点击$ 0.05(按独立IP计算),这比电子商务网站的平均广告PPC(按点击付费)便宜。由于我都是选择很受欢迎的域名来误植,所以如果是其他不太知名的域名,你可能会获得不同的结果,但仍然,非常有利可图!

WhatsApp泄漏

值得注意的是,从WhatsApp客户端创建了的连接(对我的“水坑”服务器发起的简单的GET /请求)有800多个,我怀疑当某人输入一个完整的URL时,会发生这种情况。众所周知, WhatsApp会为每次击键发起一次请求。

通过这个数据泄漏,我可以看到对被我误植全部8个WhatsApp地址的请求所带的ip和时间戳在受害者输入最后的一个字母m前被发送到我的.co服务器。这是一个可怕的隐私问题。

技术分享——基于误植域名的水坑攻击实践

误植域名的欺诈活动正野蛮发展

我们已经看到了活跃的DNS误植活动,特别是在俄罗斯,针对各种VPN和托管服务提供商。(感谢dustyfresh的发现)。

该计划非常聪明,他们注册了大量不正确的域名,将其affiliate ID注入302重定向到合法网站。受害者几乎看不见,当用户从访问的网站购买任何东西时,攻击者将分享部分利润。

据证实,一个滥用公司(还有许多其他公司)就已经为一个犯罪团伙提供了400美元。

技术分享——基于误植域名的水坑攻击实践

结论

尽管我们已经证明它可以用于欺诈或者公司间谍活动的针对性或机会主义的攻击,但从统计数据可以看出,鲜有人会滥用这种方式来大量大规模传播勒索软件。

例如,一位威胁角色的扮演者可能想要利用这种方法来感染某个公司局域网内的计算机。假设你是针对“随机大公司”,他们有一些内部和外部域名,我敢打赌你可以买几十个误植域名,并在不到一个月的时间里渗透进去。只需要等待几天/周,直到有人犯下第一个错误并紧接着带来大规模感染[1]:因此,你进入了目标。这像极了我们之前模拟的情况。

[1] 算不上0day,但用来网络钓鱼也非常好;-)

如何保护自己?

Canthink网络安全攻防实验室网络安全专家提醒您应该从标准的企业安全和最佳实践开始(要事第一!):

记录所有内容,包括DNS请求。然后,您可以在访问新注册的域名(<3个月)时设置警报。很可能你会得到很多警报,但这真的是要寻找的东西,结合您的域名上的列文斯坦距离,您可以解除大量的误报。

如果你想要更主动一些,你一定要尝试下Dnstwist这个相似/钓鱼域名监测工具。

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://itzsg.com/30320.html

(0)

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

联系我们YX

mu99908888

在线咨询: 微信交谈

邮件:itzsgw@126.com

工作时间:时刻准备着!

关注微信