怎么淺析Punycode釣魚(yú)攻擊

怎么淺析Punycode釣魚(yú)攻擊，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來(lái)學(xué)習(xí)下，希望你能有所收獲。

0x01 Punycode釣魚(yú)攻擊

1.1什么是網(wǎng)絡(luò)釣魚(yú)？

網(wǎng)絡(luò)釣魚(yú)（Phishing，與釣魚(yú)的英語(yǔ)fishing發(fā)音相近，又名釣魚(yú)法或釣魚(yú)式攻擊）是通過(guò)大量發(fā)送聲稱來(lái)自于銀行或其他知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號(hào)ID 、 ATM PIN 碼或信用card詳細(xì)信息）的一種攻擊方式。

攻擊者利用欺騙性的電子郵件和偽造的 Web 站點(diǎn)來(lái)進(jìn)行網(wǎng)絡(luò)詐騙活動(dòng)，受騙者往往會(huì)泄露自己的私人資料，如信用card號(hào)、銀行card賬戶、身份ID號(hào)等內(nèi)容。詐騙者通常會(huì)將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用card公司等可信的品牌，騙取用戶的私人信息。

PS：來(lái)自百度百科的回答

例如常見(jiàn)的電子郵件欺騙，又稱釣魚(yú)郵件攻擊，是電子郵件使用過(guò)程中面臨的主要威脅。

如何一眼看穿電子郵件詐騙呢？其實(shí)，只要細(xì)心就能發(fā)現(xiàn)。

緊迫感 — 電子郵件聲稱如果不回復(fù)密碼或不點(diǎn)擊鏈接，會(huì)有什么嚴(yán)重后果。

拼寫錯(cuò)誤 — 郵件中有明顯或故意拼寫錯(cuò)誤，這是為了避開(kāi)垃圾郵件過(guò)濾器的安全檢查。

發(fā)送和回復(fù)地址不同 — 電子郵件聲稱來(lái)自“A.com”，但回復(fù)地址卻是“B.com”。

產(chǎn)品或服務(wù)不一致 — 牛頭不對(duì)馬嘴，騰訊QQ公司發(fā)郵件說(shuō)你的陌陌賬號(hào)存在風(fēng)險(xiǎn)。

字符相似性混淆 —  boss@a.com 和 b0ss@a.com ，你發(fā)現(xiàn)了有什么不同嗎？

1.2釣魚(yú)可能產(chǎn)生的危害有哪些？

例如：

文件通過(guò)PNG隱寫技術(shù)將真正的模塊隱藏在自身攜帶的圖片資源中，在運(yùn)行時(shí)從圖片中動(dòng)態(tài)提取出惡意模塊，然后直接在內(nèi)存（PE）中加載執(zhí)行。

1.3釣魚(yú)四步走

• 看天

根據(jù)不同國(guó)家或地區(qū)，看看當(dāng)前國(guó)情和時(shí)事，發(fā)現(xiàn)哪些目標(biāo)和人群適合釣魚(yú)攻擊，進(jìn)行定點(diǎn)釣魚(yú)。

• 選竿

選擇特定的目標(biāo)人群。

• 做餌

制作具有誘惑性的文件、圖片（隱寫術(shù)）、木馬、執(zhí)行文件等等釣魚(yú)工具（免殺）。

• 上大魚(yú)

最后，就是等待傻魚(yú)的上鉤咯。

0x02 Punycode釣魚(yú)攻擊介紹

釣魚(yú)攻擊，“幾乎無(wú)法檢測(cè)”，即便平時(shí)十分謹(jǐn)慎的用戶也可能無(wú)法逃過(guò)欺騙。

在某些釣魚(yú)場(chǎng)景中，黑客可利用Chrome、Firefox和Opera瀏覽器中的已知漏洞，將虛假的域名偽裝成蘋果、谷歌或者亞馬遜網(wǎng)站，以竊取用戶的登錄憑證、金融憑證或其他敏感信息。

2.1同形異義字攻擊

同形異義字攻擊自2001年以來(lái)就已為人所知，但是瀏覽器廠商修復(fù)該問(wèn)題的過(guò)程卻很艱難。這種欺騙攻擊就是網(wǎng)址看起來(lái)是合法的，但實(shí)際上不是，因?yàn)槠渲械囊粋€(gè)字符或者多個(gè)字符已經(jīng)被Unicode字符代替了。

許多Unicode字符，代表的是國(guó)際化的域名中的希臘、斯拉夫、亞美尼亞字母，看起來(lái)跟拉丁字母一樣，但是計(jì)算機(jī)卻會(huì)把他們處理成完全不一樣網(wǎng)的網(wǎng)址。

比如說(shuō)，斯拉夫字母“а” （U+0430）和拉丁字母“a”（U+0041）會(huì)被瀏覽器處理成不同的字符，但是在地址欄當(dāng)中都顯示為“a”。

備注：

早期的DNS（Domain Name System）是只支持英文域名解析。域名的編碼字符集是ASCII碼。在IDNs（國(guó)際化域名international domain names）推出后，為了保證兼容以前的DNS，所以，對(duì)IDNs進(jìn)行punycode轉(zhuǎn)碼，轉(zhuǎn)碼后的punycode就由26個(gè)英文字母+10個(gè)數(shù)字，還有‘-’組成。

ASCII碼：ASCII碼是基于拉丁字母的一套電腦編程系統(tǒng)，主要用于顯示現(xiàn)代英語(yǔ)和其他西歐語(yǔ)言。它被設(shè)計(jì)為用1個(gè)字節(jié)來(lái)表示一個(gè)字符，所以ASCII碼表最多只能表示2**8=256個(gè)字符。實(shí)際上ASCII碼表中只有128個(gè)字符，剩余的128個(gè)字符是預(yù)留擴(kuò)展用的。

Unicode：隨著世界互聯(lián)網(wǎng)的形成和發(fā)展，各國(guó)的人們開(kāi)始有了互相交流的需要。但是這個(gè)時(shí)候就存在一個(gè)問(wèn)題，每個(gè)國(guó)家所使用的字符編碼表都是不同的。這個(gè)時(shí)候，人們希望有一個(gè)世界統(tǒng)一的字符編碼表來(lái)存放所有國(guó)家所使用的文字和符號(hào)，這就是Unicode。Unicode又被稱為 統(tǒng)一碼、萬(wàn)國(guó)碼、單一碼，它是為了解決傳統(tǒng)的字符編碼方案的局限性而產(chǎn)生的，它為每種語(yǔ)言中的每個(gè)字符設(shè)定了統(tǒng)一并且為之一的二進(jìn)制編碼。Unicode規(guī)定所有的字符和符號(hào)最少由2個(gè)字節(jié)（16位）來(lái)表示，所以Unicode碼可以表示的最少字符個(gè)數(shù)為2**16=65536。

IDN：國(guó)際化域名（英語(yǔ)：Internationalized Domain Name，縮寫：IDN）又稱特殊字符域名，是指部分或完全使用特殊的文字或字母組成的互聯(lián)網(wǎng)域名，包括法語(yǔ)、中文、斯拉夫語(yǔ)、泰米爾語(yǔ)、希伯來(lái)語(yǔ)或拉丁字母等非英文字母，這些文字經(jīng)多字節(jié)萬(wàn)國(guó)碼編譯而成。IDN的域名是使用unicode字符集。

計(jì)算與知名網(wǎng)址的相似度

此時(shí)這個(gè)待檢測(cè)域名被映射成一個(gè)它所有可能的相似域名，這時(shí)候?qū)op2w的知名網(wǎng)址域名與這個(gè)相似域名做一個(gè)交集，如果該域名是由IDN域名衍生而來(lái)的，則只要這個(gè)域名與知名網(wǎng)站有交集則認(rèn)定這個(gè)域名有高度偽造嫌疑，因?yàn)槌３Ｊ褂肐DN域名的情況通常是有偽造嫌疑的。

如果該域名不是由IDN域名衍生而來(lái)的，則判斷與知名網(wǎng)站域名交集個(gè)數(shù)是否為1（這里的意義在于偽造的域名具有極強(qiáng)的針對(duì)性）而且判斷這兩個(gè)域名之間的編輯距離是否為1。

因?yàn)椴糠种W(wǎng)站中的域名本身就十分相似，如果這個(gè)‘惡意’域名與多個(gè)知名網(wǎng)站域名相似，則反映出針對(duì)性不強(qiáng)，且更容易誤報(bào)。

再者，根據(jù)統(tǒng)計(jì)，90%的域名偽造行為編輯距離都等于1，也就是說(shuō)，大部分偽造域名只會(huì)替換其中的一個(gè)字符（畢竟字符替換多了，人就更容易察覺(jué)其中的不同）。

2.2那么Chrome、Firefox和Opera瀏覽器的漏洞又是來(lái)自哪里？

經(jīng)測(cè)試Chrome、Firefox和Opera能夠直接在地址欄中顯示Unicode字符，我們即可注冊(cè)Unicode域名對(duì)應(yīng)的Punycode轉(zhuǎn)碼后的域名，在瀏覽器中輸入網(wǎng)址后會(huì)直接顯示Unicode字符。

一般來(lái)講，我們?cè)诖蜷_(kāi)某一個(gè)陌生的頁(yè)面后，會(huì)查看瀏覽器加載出來(lái)后檢查地址欄，看看地址是否由有效的HTTPS連接提供或域名是不是就是真的域名（例如：www.baidu.com）。對(duì)吧？

本次，我們主要要講的是利用Punycode轉(zhuǎn)碼后的域名，偽造欺騙。頁(yè)面是由發(fā)現(xiàn)這一攻擊的中國(guó)安全研究員Xudong Zheng創(chuàng)建的，點(diǎn)擊去看看。

www.xn--80ak6aa92e.com

那么，我們來(lái)分析哈，我們本來(lái)是想要訪問(wèn)瀏覽器后，能直接被瀏覽器解析為：www.apple.com 的。

先看看www.xn--80ak6aa92e.com解析成中文域名后，是什么樣的，如下：

如果有安裝谷歌，請(qǐng)先卸載掉當(dāng)前版本（我這里是最新版本），再安裝 56.0.2906.0_chrome64_canary_windows_installer.exe （離線安裝版），此時(shí)，我們?cè)诠雀铻g覽器舊版本（56）里訪問(wèn)www.xn--80ak6aa92e.com之后，谷歌瀏覽器舊版本（56）會(huì)自動(dòng)還原成www.apple.com，在該版本瀏覽器中，我們的瀏覽器是容易遭受“同形異義字攻擊”的。

因?yàn)?6.0.2906.0_chrome64_canary_windows_installer.exe的瀏覽器只將單一語(yǔ)言采用的Unicode編碼轉(zhuǎn)換為Ponycode URL （比如漢語(yǔ)或者日語(yǔ)），但是如果一個(gè)域名當(dāng)中包含來(lái)自多個(gè)語(yǔ)言的字符，瀏覽器就無(wú)法分辨了。

那么，我們用最新版的谷歌瀏覽器（本博主最新版谷歌瀏覽器為： 83.0.4103.61（正式版本））再次訪問(wèn)www.xn--80ak6aa92e.com試試呢？看看結(jié)果如何

從上圖，我們可以看出瀏覽器并沒(méi)有將URL域名轉(zhuǎn)發(fā)為www.apple.com ，可見(jiàn)在新版本中已修復(fù)該漏洞。

Google已經(jīng)在Chrome Canary 59中修復(fù)了這一漏洞，而且發(fā)布Chrome Stable 58時(shí)，會(huì)給出永久的修復(fù)方案。

與此同時(shí)，建議可能受此釣魚(yú)攻擊影響的用戶暫時(shí)關(guān)閉瀏覽器中的Punycode支持，來(lái)分辨釣魚(yú)域名，緩解此攻擊。

Punycode的攻擊方式存在兩個(gè)明顯的優(yōu)勢(shì)，導(dǎo)致常被攻擊者選取用來(lái)攻擊：

Masquarading：從肉眼上很難區(qū)分正常域名和punycode偽裝的域名，進(jìn)行網(wǎng)絡(luò)釣魚(yú)的成功率很高。

Evasion：從安全防護(hù)的角度而言，通常會(huì)因?yàn)楸苊獯蠓秶`報(bào)而把含關(guān)鍵詞的域名列為白名單，所以可以有效的繞過(guò)安全防護(hù)產(chǎn)品的威脅情報(bào)檢測(cè)等功能。

2.3如何防御Punycode釣魚(yú)攻擊呢？

用戶在點(diǎn)擊任何通過(guò)短信或IM應(yīng)用程序共享的鏈接之前應(yīng)保持警惕，即使它們來(lái)自于一位可信的聯(lián)系人。IDN格式顯示由瀏覽器設(shè)計(jì)控制，最終用戶在控制如何顯示URL有局限性。主要和最有效的方法是利用密碼管理器在輸入密碼之前檢查URL，這可有效降低用戶向同形異義網(wǎng)址釣魚(yú)網(wǎng)站輸入憑證的機(jī)會(huì)。輔助檢查將有效檢測(cè)URL以查看是否有任何明顯的字符切換。

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝您對(duì)億速云的支持。