歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

使用Homograph的復雜魚叉滲透分析

來源:本站整理 作者:佚名 時間:2019-06-19 TAG: 我要投稿

在過去的幾個月里,我們做了一些有關創建網絡釣魚電子郵件的研究,這些創建的釣魚郵件足以欺騙那些專業的安全人員。因此,我們正在研究一個相當古老的安全話題:Punycode域和IDN同形異義詞攻擊。
Punycode是一種特殊的編碼,用于將Unicode字符轉換為ASCII。這里使用bücher.example的示例域來說明其編碼過程。
bücher轉換為Punycode結果為bcher-kva。然后以xn--為前綴,生成xn--bcher-kva。因此DNS記錄為xn--bcher-kva.example。
但這也可以用來欺騙用戶訪問惡意的URL。2017年,Xudong Zheng撰寫了一篇關于使用Unicode域進行網絡釣魚的博文。他們為apple.com創建了一個PoC域,并使用了西里爾字母‘a’ – ,而瀏覽器以Unicode表示,這使得即使是有經驗的用戶也很難發現攻擊。與此同時,除Firefox之外的所有瀏覽器都默認以Punycode表示,雖然這消除了Web瀏覽器中的大多數攻擊。但針對郵件的欺騙攻擊呢?
可以說Unicode域似乎是實現近乎完美的網絡釣魚郵件的一種方法。
為了創建一個PoC,我們注冊了域а1.digital,其中‘а’等同于西里爾字母的а (U+0430)。
我們感興趣的是主流的電子郵件客戶端是如何處理從Punycode域發送的電子郵件的,以及他們采用哪種安全機制來通過此特定向量發現潛在的網絡釣魚攻擊。
我們查看了以下產品:
Outlook for Windows
Outlook Mobile
Office365 Web (outlook.office365.com)
Gmail Web
Gmail Android
Mail for iPhone
Thunderbird
我們測試了不同的向量:
發送電子郵件使用Punycode編碼的“FROM”字段 (示例:FROM: Bud Spencer )
發送電子郵件使用Unicode編碼的“FROM”字段 (示例:FROM: Bud Spencer )
發送帶有合法“FROM”字段的電子郵件,但使用Punycode編碼或Unicode編碼的電子郵件地址偽造“Reply-To”(示例:FROM: Bud Spencer , Reply-To: Bud Spencer )
場景如下:Bud Spencer([email protected])受到惡意攻擊者的冒充,Terence Hill寫了一封包含以下內容的電子郵件:
Hello Terence,You can find the registration link for our security awareness training below:https://а1.digital/security-awareness-trainingKind RegardsBud
結果如下表:

在下文中,我們將介紹此研究的詳細結果,包括測試應用程序的屏幕截圖以及成功的攻擊向量。
Outlook for Windows
測試版本為:Office 365 16.0.11328.20286
以下電子郵件是使用Punycode編碼的“FROM”字段發送的

如上所示,Outlook會向用戶發出警告。但大多數用戶都不會注意到警告。我們進行下改進,使用合法的“FROM”字段但“Reply-To”字段使用Punycode編碼,創建內容如下:

可以看到沒有警告!以下截圖顯示,在回復假電子郵件時無法識別攻擊。請注意,在該示例中,受害者正在回復攻擊者。

注意:Outlook 2016在收到上述假電子郵件時以Punycode表示。使用Unicode編碼的“FROM”字段感知網絡釣魚電子郵件時,攻擊將無法識別。
Outlook Mobile for Android
測試版本為:3.0.63 (319)
測試電子郵件分別以Unicode和Punycode編碼發送。但是,如下所示Outlook for Android始終以Punycode表示,允許用戶檢測攻擊。

Office365 Web (outlook.office365.com)
下面的電子郵件是使用а1.digital的Unicode表示發送的 – 在這種情況下,用戶無法識別此網絡釣魚電子郵件,即使在回復時也是如此。

Gmail Web
而Gmail就非常有意思了 – 它是目前使用最廣泛的網絡郵件之一。收到電子郵件(Punycode發件人,以Unicode格式發送時,Gmail服務器將不會接受該電子郵件)時,無法檢測到網絡釣魚攻擊。此外,Google垃圾郵件保護服務也未將其歸類為垃圾郵件。

在擴展的詳細信息中可以看到,電子郵件是由xn--1-7sb.digital簽名的 – 這是因為DKIM簽名。我們使用了一個外部電子郵件提供商簽名所有傳出郵件 – 我們當然可以在設置我們自己的電子郵件服務器時停用它,這將會讓攻擊更為隱蔽。缺點是,如果沒有有效的DKIM簽名,SPAM得分就不會那么好。

最有意思的是,在回復網絡釣魚郵件時,Gmail會通過以下消息警告用戶:

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺