情报背景
Web 1.0时代大部分网站由静态页面组成,Web 2.0是基于“网络作为平台”的理念,并以用户创建的内容为中心,上传到论坛、社交媒体和网络服务、博客以及其他服务。“Web3”指的是“基于区块链的去中心化在线生态系统”。Web3 的核心是商业模式的去中心化。Web3支持者吹捧的中心化的网络内容托管能力,即:任何人都可以通过运行相关软件在平台内托管内容;任何公司或管理组织都不会审核托管内容。不幸的是,这种能力正被网络钓鱼攻击者滥用。
近期,trustwave安全研究员捕获了多封滥用web3平台的网络钓鱼活动,本文就事件中的钓鱼技术进行分析与探究。
|
组织名称 |
未知 |
|
相关工具 |
无 |
|
战术标签 |
初始访问 |
|
技术标签 |
钓鱼网站 |
|
情报来源 |
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/the-attack-of-the-chameleon-phishing-page/ |
01 攻击技术分析
亮点:使用Web3托管钓鱼页面
相比普通的网页内容托管,Web3托管的内容非常适合网络钓鱼攻击者的需求,从广义上讲,在Web3平台上发布的内容是永久性的。
在下面的钓鱼活动中使用了IPFS进行钓鱼页面托管,IPFS是2015年创建的用于托管数据的点对点网络和协议,它建立在去中心化系统上,用户可以通过地址访问到托管的内容。由于多个IPFS节点可以托管内容,因此网络钓鱼页面可能会一直保持在线状态,为了删除这些恶意内容,网络防御者需要花大量的精力去访问托管内容的所有网关,并要求从其缓存中删除内容。
图:诱导访问ipfs链接的钓鱼邮件
图:托管在IPFS上的钓鱼页面
亮点:根据用户的输入自动变换样式的变色龙钓鱼页面
当受害者访问携带钓鱼url时,钓鱼页面会自动检测url后面附带的邮箱地址,用来帮助受害者填入邮箱地址,让钓鱼活动看起来更加真实。通过改变url后面携带的邮箱地址,可以看到这个钓鱼网站就像变色龙一样,通过更改和混合其网页样式图像来欺骗受害者。如下图,当我们在浏览器中输入电子邮件地址时,有四个明显的 Web 元素会发生变化:
-
页面的背景
-
网页logo
-
标题内容
-
电子邮件地址提供商的域名称
图:根据url中的邮箱地址变化页面样式
通过查看源代码,可以很明显的发现:攻击者在JavaScript中通过正则表达式获取受害者邮箱的域名,然后在页面中动态替换对应资源的链接地址,通过多个资源的动态调用实现自动变化网页样式的变色龙钓鱼页面。
02 总结
本文分析了一个利用Web3技术发起的网络钓鱼攻击,Web3技术对网络钓鱼攻击者来说优势显著,有理由怀疑随着Web3技术在用户和组织的日常生活中的应用,导致被攻击者滥用的机会只会增加。同时攻击者通过自动变化网络钓鱼站点的页面样式,从而使攻击者能够扩大其攻击范围,在同一网站上重复获取受害者的信任。
绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。
研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。
M01N Team公众号
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队
官方攻防交流群
网络安全一手资讯
攻防技术答疑解惑
扫码加好友即可拉群
往期推荐
原文始发于微信公众号(M01N Team):攻击技术研判|滥用Web3的变色龙网络钓鱼攻击
