0×01 騰訊、京東、支付寶、微博、淘寶已面臨同形異義字釣魚攻擊
真有這麽多網站面臨威脅?其實還不止,還有愛奇異、小米……
目前發現的威脅都是通過西裏爾字母來進行混淆
上圖是西裏爾字母表,我們可以發現有不少字母與拉丁字母相識,這就是為什麽用西裏爾字母來進行混淆的原因
瀏覽器會通過Punycode來編碼非拉丁字符的域名,編碼後就可以避免產生混淆,但發現如果域名的壹個字段裏所有字符都是同壹種語言,就不會進行編碼(之前freebuf上有篇文章可能是筆誤,關於這點剛好說反了)。據說這個問題chrome已經修復了,並且google還給相關發現者2000美金的獎勵。
但我還是發現chrome有時候編碼了,有時候又沒編碼
比如上面看到的“淘寶”,並沒有編碼。後面要講的釣魚攻擊對是否編碼已經不重要,所以現在就不用深究這個問題
我們先從?.com開始(這裏的?.com 已不等於 jd.com了,是不是認不出來有什麽區別 ^_^)
我們嘗試註冊?.com,先Punycode轉碼後再查詢
?.com 轉碼後 xn--e2a25a.com
在國內不允許註冊Punycode轉碼後的域名
在國外的域名網站就可以正常查詢了,這裏顯示的not available是指已經被註冊了,而不是說Punycode轉碼域名不能註冊。之前獲得谷歌2000美金的安全人員就註冊過арр?е.com(xn--80ak6aa92e.com)這個域名
直接在瀏覽器中打開 ?.com (xn--e2a25a.com )
目前域名還沒被解析,來到了域名服務商提供的默認頁面。
繼續點擊“了解如何才能擁有此域名”,可以看到明確說明此域名已經出售。
我們還可以再做個實驗:
xiami.com蝦米是阿裏旗下的音樂網站,
我們查詢西裏爾字母的х?ам?.com,這個域名就沒有被註冊,顯示的available
х?ам?.com 轉碼後 xn--80ayza2ec.com
不是所有的英文字母都有與之相似對應的西裏爾字母
我嘗試了壹些可以用西裏爾字母拼出的國內知名網站
?.com 轉碼後 xn--x7aa.com?(騰訊)
?.com 轉碼後 xn--y7aa.com (騰訊)
?.com 轉碼後 xn--e2a25a.com (京東)
а?рау.com 轉碼後 xn--80aa1cn6g67a.com (支付寶)
у?.com 轉碼後 xn--s1a1bab69g.com (愛奇藝)
ТаоЬао.com 轉碼後 xn--80aa5bbq6d.com (淘寶)
?е?Ьо.com 轉碼後 xn--e1as5bzb58e.com (微博)
?О.com 轉碼後 xn--n1a9b.com (360搜索)
М?.com 轉碼後 xn--l1a6c.com (小米)
顯示全部已被註冊
又嘗試了部分以上可以用大小寫混淆的形式
у?.com 轉碼後 xn--s1a1bb53bvo.com (愛奇藝)
у?.com 轉碼後 xn--s1a1bab19g.com (愛奇藝)
?.com 轉碼後 xn--c2aaa96axr.com (愛奇藝)
?е?Ьо.com 轉碼後 xn--e1as5bzb08e.com (微博)
ТАОВАО.com 轉碼後 xn--80aaf1cct.com (淘寶)
同樣顯示已被註冊
試了這麽多域名都被註冊了,可能我們會再次懷疑是系統問題或是巧合,我在上面的ТАОВАО後面再加個О試試
ТАОВАО О.com 轉碼後 xn--80aaf1ccaw.com
這個域名就沒有被註冊了,所以不得不懷疑以上的域名是被刻意註冊的
上圖是?.com(xn--e2a25a.com)的whois信息,whois信息被隱藏保護的,其他域名也類似或者提示無法顯示或者有相關信息也無法追溯,只追溯到壹個域名是國內安全圈的老司機註冊的,這位可能是用來做研究
0×02 實施同形異義字釣魚攻擊,釘釘存在安全隱患
前面提到的chrome的漏洞就是瀏覽器地址欄沒有進行Punycode轉碼,導致相似的文字可能產生混淆,存在釣魚攻擊的威脅。
我們這裏不管google的這個漏洞有沒有修復,換壹個攻擊思路:
壹般內嵌手機APP的webview是沒有地址欄的,所以轉碼也好,沒轉碼也好,用戶是看不到網址的
這裏選了兩個手機端最常見的即時聊天APP:
微信 和 釘釘
用域名:
ТаоВао.com 轉碼後 xn--80aaf1cct.com
在我自己的iphone上進行了試驗:
在微信裏,這樣的域名無論是否加識別為url的會顯示為藍色,就可以直接點擊打開)
然後再在釘釘裏進行相同的嘗試
在釘釘裏三種形式都自動識別為url,點擊後就可以直接打開網址
按住手機屏幕下拉可以看到當前的url為 xn--80aaf1cct.com 即 ТаоВао.com
也就是說在釘釘裏發起同形異義字釣魚攻擊很難防範,存在很大的安全風險。加之前面的分析,大量這樣的釣魚網址已被註冊,隨時可能面臨威脅
這裏就沒再對其他的APP做實驗,很可能或多或少都有這樣的問題
0×03 結尾
按照慣例總有個結尾,這次就只說壹句,希望馬爸爸看到這篇文章,看是否也能給個獎勵.