攻击技术研判|滥用Web3的变色龙网络钓鱼攻击
2023-2-13 18:1:27 Author: M01N Team(查看原文) 阅读量:23 收藏

情报背景

Web 1.0时代大部分网站由静态页面组成,Web 2.0是基于“网络作为平台”的理念,并以用户创建的内容为中心,上传到论坛、社交媒体和网络服务、博客以及其他服务。“Web3”指的是“基于区块链的去中心化在线生态系统”。Web3 的核心是商业模式的去中心化。Web3支持者吹捧的中心化的网络内容托管能力,即:任何人都可以通过运行相关软件在平台内托管内容;任何公司或管理组织都不会审核托管内容。不幸的是,这种能力正被网络钓鱼攻击者滥用。

近期,trustwave安全研究员捕获了多封滥用web3平台的网络钓鱼活动,本文就事件中的钓鱼技术进行分析与探究。

组织名称

未知

相关工具

战术标签

初始访问

技术标签

钓鱼网站

情报来源

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/the-attack-of-the-chameleon-phishing-page/

01 攻击技术分析

亮点:使用Web3托管钓鱼页面

相比普通的网页内容托管,Web3托管的内容非常适合网络钓鱼攻击者的需求,从广义上讲,在Web3平台上发布的内容是永久性的。

在下面的钓鱼活动中使用了IPFS进行钓鱼页面托管,IPFS是2015年创建的用于托管数据的点对点网络和协议,它建立在去中心化系统上,用户可以通过地址访问到托管的内容。由于多个IPFS节点可以托管内容,因此网络钓鱼页面可能会一直保持在线状态,为了删除这些恶意内容,网络防御者需要花大量的精力去访问托管内容的所有网关,并要求从其缓存中删除内容。

图:诱导访问ipfs链接的钓鱼邮件

图:托管在IPFS上的钓鱼页面

亮点:根据用户的输入自动变换样式的变色龙钓鱼页面

当受害者访问携带钓鱼url时,钓鱼页面会自动检测url后面附带的邮箱地址,用来帮助受害者填入邮箱地址,让钓鱼活动看起来更加真实。通过改变url后面携带的邮箱地址,可以看到这个钓鱼网站就像变色龙一样,通过更改和混合其网页样式图像来欺骗受害者。如下图,当我们在浏览器中输入电子邮件地址时,有四个明显的 Web 元素会发生变化:

  • 页面的背景

  • 网页logo

  • 标题内容

  • 电子邮件地址提供商的域名称

图:根据url中的邮箱地址变化页面样式

通过查看源代码,可以很明显的发现:攻击者在JavaScript中通过正则表达式获取受害者邮箱的域名,然后在页面中动态替换对应资源的链接地址,通过多个资源的动态调用实现自动变化网页样式的变色龙钓鱼页面。

02 总结

本文分析了一个利用Web3技术发起的网络钓鱼攻击,Web3技术对网络钓鱼攻击者来说优势显著,有理由怀疑随着Web3技术在用户和组织的日常生活中的应用,导致被攻击者滥用的机会只会增加。同时攻击者通过自动变化网络钓鱼站点的页面样式,从而使攻击者能够扩大其攻击范围,在同一网站上重复获取受害者的信任。

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群

往期推荐

攻击技术研判 | 利用内存信息对抗虚拟机分析

攻击技术研判|大国博弈背景下以Nighthawk为代表的新兴C2对现有安全防护造成巨大的挑战

攻击技术研判|狡兔三窟,寄生公开服务的隐匿文档攻击


文章来源: http://mp.weixin.qq.com/s?__biz=MzkyMTI0NjA3OA==&mid=2247490681&idx=1&sn=93d33c1f71d88bae96597105f7d18cbc&chksm=c187dc68f6f0557e1443451ab79bfccbf7cc1667d3b5d9f26e353832f717a32f3595986f06c7#rd
如有侵权请联系:admin#unsafe.sh