通过Awake发现(和停止)Typosquatting攻击
在文章的开始,简要的介绍一下这个Typosquatting攻击,它被称为的是URL劫持,圈套站点或者说是虚假URL,是一种域名抢注,可能是劫持,它依赖于互联网用户在网站地址输入网络浏览器时所犯的错误等信息。如果用户不小心输入了错误的网络地址,他们可能被引导到任何URL(包括域名抢注者拥有的替代网站)。
域名仿冒者的URL通常是五种类型之一,都类似于受害者站点地址(例如example.com):
预期网站的常见拼写错误或外语拼写:exemple.com
基于错别字的拼写错误:examlpe.com
一个不同措辞的域名:examples.com
一个不同的顶级域名:example.org
滥用国家和地区代码顶级域名(ccTLD):example.cm使用.cm,example.co使用.co,或example.om使用.om。一个人错误地在.com中留下一封信可能会到达虚假URL的网站。
一旦进入域名抢注者的网站,用户也可能会被欺骗,认为他们实际上是在真实网站中,通过使用复制或类似的徽标,网站布局或内容。例如,垃圾邮件有时会利用域名仿冒网址诱骗用户访问看起来像某个银行网站的恶意网站。
现在呢,我们进入到这个文章的:)
在最近对客户环境进行一些分析时,我遇到了一些我最喜欢的域名! 你知道,那种跳出来然后说:“嘘! 这没东西看! 我想融入其中!“
好了,这是开玩笑的,真正的域同样是狡猾的:
图片1:利用常见用户误解的域
此屏幕截图中的第二个示例是域名抢注的典型示例,因为它利用简单的字母翻转(在本例中为t和y)来执行以下两项操作之一:
导致人们错误地输入合法域名,从而访问非法域名
导致人们误读非法域名,就好像它是一个合法的域名
我们在Awake发现了许多这样的域名,包括去年夏天谷歌分析的另一个域名,即在数十个网站上窃取了毫无戒心的客户的信用卡信息。 事实上,这种类型的检测从一开始就内置于我们的产品中!
但是,上面截图中的第一个例子 - 我将称之为域伪装 - 实际上对我来说更有趣,原因有两个。 首先,它利用主要供应商的熟悉程度来诱使人们相信它也是一个合法的网站。 这次没有拼写错误,这使得它更难发现。
我发现更有趣的是伪装没有在那里结束。 具体而言,使用的子域如下:
图2:我们的可疑域的完整子域列表
在这种情况下,“子域”是“安全”,“谷歌”和“来自危险网站的com病毒”,然后是域“google-rewards [.] com”。乍一看,似乎在浏览器中发现它是假的很明显。 但是,如果我告诉你目标设备(顺便说一句,我们从Awake的设备识别中自动了解)是移动电话怎么办? 对于具有代表性的视觉效果,大多数手机都有这么多产业:
图3:移动Chrome浏览器上TLD锚定的表示
根据您的浏览器,URL显示为:
从左到右
在这种情况下,所有的瑕疵都被推到屏幕外,使得结果URL看起来像“security.google [.] com”(如果它是真正的TLD,那将是一个合法且值得信赖的网站!)。 作为参考,这里是一个示例,说明今天Chrome桌面浏览器的严重最小化版本的行为:
图4:Chrome桌面的非TLD锚定行为
或者将右侧固定在真正的TLD上
在这种情况下(在移动Chrome浏览器中也是如此,如图3所示),攻击者在其URL的末尾添加“google-rewards [.] com”...作为跨浏览器兼容(并且可信) 可能。 此外,要获得更多“真实性”的SSL证书并不难获得小锁。
希望在这一点上你不要问,“为什么这很重要?”,但如果你是,请记住:
用户是您企业中最重要的部分之一
域名抢注和域名伪装攻击经常被用作网络钓鱼攻击或类似Magecart卡片掠夺攻击的例子
网络钓鱼绝大多数是初始攻击者访问您企业的来源
分析师“关注”上述域名很可能会错过这些行为,并且这些域名在您遭到破坏之前不可能出现在任何黑名单或英特尔信息中。
错过这些类型的攻击太容易了。 用Awake消除安全性中的猜测。