安全路透社
当前位置:安全路透社 > 安全客 > 正文

【技术分享】基于误植域名的水坑攻击实践

http://p1.qhimg.com/t0140a47e22c941cf93.png

因为并不是每个人都拥有NSA Quantum系统那样的能力,一个穷人必须考虑一下如何以较低代价黑入目标网络,对吧?

自90年代以来,误植已经被认知甚至是滥用,主要用于网络钓鱼,但是对于水坑攻击来说仍然是有利可图的。让我们来一探究竟吧!

你会不会经常把google.com错输成google.co?我很烦这种情况但它经常发生在我身上。这种情况每天也发生在数千人身上。所以我的主要想法是查找与流行的.com网站相应的可用的.co域名,看看情况有多糟糕:测试一个恶意的误植域名搭载漏洞利用套件的场景,打造一个穷人能用的QUANTUM系统!

误植域名中注入affiliate ID的HTTP事务处理情况

译者注:若想了解更多关于affiliate ID,可访问:

https://opensrs.com/docs/opensrsapiperl/Affiliate_ID.html

结论


尽管我们已经证明它可以用于欺诈或者公司间谍活动的针对性或机会主义的攻击,但从统计数据可以看出,鲜有人会滥用这种方式来大量大规模传播勒索软件。

例如,一位威胁角色的扮演者可能想要利用这种方法来感染某个公司局域网内的计算机。假设你是针对“随机大公司”,他们有一些内部和外部域名,我敢打赌你可以买几十个误植域名,并在不到一个月的时间里渗透进去。只需要等待几天/周,直到有人犯下第一个错误并紧接着带来大规模感染[1]:因此,你进入了目标。这像极了我们之前模拟的情况。

[1] 算不上0day,但用来网络钓鱼也非常好;-)

如何保护自己?


您应该从标准的企业安全和最佳实践开始(要事第一!):

记录所有内容,包括DNS请求。然后,您可以在访问新注册的域名(<3个月)时设置警报。很可能你会得到很多警报,但这真的是要寻找的东西,结合您的域名上的列文斯坦距离,您可以解除大量的误报。

如果你想要更主动一些,你一定要尝试下Dnstwist这个相似/钓鱼域名监测工具。

感谢@ scriptjunkie1给了我这个研究的想法。如果您对其误植攻击感兴趣,请从OPCDE 2017查看他的幻灯片!


原文链接:https://blog.0day.rocks/practical-waterholing-through-dns-typosquatting-e252e6a2f99e

未经允许不得转载:安全路透社 » 【技术分享】基于误植域名的水坑攻击实践

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册