技術分享——基於誤植域名的水坑攻擊實踐

因為並不是每個人都擁有NSA Quantum系統那樣的能力，一個窮人必須考慮一下如何以較低代價黑入目標網路，對吧？

自90年代以來，誤植已經被認知甚至是濫用，主要用於網路釣魚，但是對於水坑攻擊來說仍然是有利可圖的。讓我們來一探究竟吧！

你會不會經常把google.com錯輸成google.co？我很煩這種情況但它經常發生在我身上。這種情況每天也發生在數千人身上。所以我的主要想法是查找與流行的.com網站相應的可用的.co域名，看看情況有多糟糕：測試一個惡意的誤植域名搭載漏洞利用套件的場景，打造一個窮人能用的QUANTUM系統！

漏洞攻擊套件通過誤植域名感染受害者的例子

例如，你可能因為漏拼一個字母而不小心訪問到這些國家的頂級域名：

.com - > .cm（喀麥隆的頂級域名）

.com - > .co（哥倫比亞的頂級域名）

.com - > .om（阿曼頂級域名）

.net - > .ne（尼日頂級域名）

.net - > .et（衣索比亞的頂級域名）

...

看到了吧，我們能利用的域名實在是太豐富了！接下來，我將用哥倫比亞（.co）的頂級域名做實驗。

1

尋找流行的域名

我們來看看Alexa網站的排行榜，並尋找可用的域名。

獲取最受歡迎的網站是非常容易的，這裡是如何獲得前2000的.com域名的方法

我用python寫了個小腳本來批量檢查域名可用性：在.com域中，有320個.co域名可用（大約佔16%），我選了其中8個看起來利用價值比較高的進行測試（排名靠前的大部分域名都是廣告追蹤器所以人們不會在地址欄手動輸入，因此我把它們剔除了）。這些候選鏈接訪問量排名全都在500和1000之間——這已足以讓我們大展身手了。

2

搭建「水坑」服務

我在cheap VPS on CockBox上給自己買了一個便宜的VPS，用於這個測試（我獲得的IP地理定位在塞席爾共和國，真是又酷又隱蔽

這個想法是讓訪問者先載入一個無害的JavaScript代碼，再把他們神不知鬼不覺地重定向到預期的.com網站。代碼這樣寫就很好使:

3

數錢

啊，現在我們把所有的域名都設置好了，只等著世界各地的冤大頭們來訪問伺服器，完美！

優點：它相當隱秘，不是基於電子郵件，受害者很可能不會看到發生了什麼。

缺點：隨機結果+等待時間。

4

結果和統計

這個實驗持續了40天，我的日誌文件中有5430個條目。大多數是爬蟲和機器人，過濾掉它們之後我得到了共計916個獨立IP對「水坑」伺服器發起的1765次頁面請求（大約23 次/天）。分析請求中的User-Agent值，可以確定這些請求都是人們在真正的瀏覽器的地址欄中手動輸入URL並且輸錯之後引起的，那麼看來這招確實有效！

遺憾的是，只有392個獨立的訪問者載入了我的Piwik JavaScript代碼。我懷疑之所以效果不好，是因為大多數人啟用了廣告攔截/隱私插件。這也算是個好消息吧，雖然，如果我用上真正的漏洞利用套件的話，結果就要另當別論了。。。

有趣的是，「被劫持」的域名的分布顯示出一定的地域性。一個被誤植域名的伊朗新聞網站正在按照預期的方式接收許多來自伊朗的連接（在右圖，我們可以看到超過50％的流量來自伊朗）。

這次攻擊的實際成本是每次點擊$ 0.05（按獨立IP計算），這比電子商務網站的平均廣告PPC（按點擊付費）便宜。由於我都是選擇很受歡迎的域名來誤植，所以如果是其他不太知名的域名，你可能會獲得不同的結果，但仍然，非常有利可圖！

5

WhatsApp泄露

值得注意的是，從WhatsApp客戶端創建了的連接（對我的「水坑」伺服器發起的簡單的GET /請求）有800多個，我懷疑當某人輸入一個完整的URL時，會發生這種情況。眾所周知， WhatsApp會為每次擊鍵發起一次請求。

通過這個數據泄漏，我可以看到對被我誤植全部8個WhatsApp地址的請求所帶的ip和時間戳在受害者輸入最後的一個字母m前被發送到我的.co伺服器。這是一個可怕的隱私問題。

5

誤值域名的欺詐活動正野蠻發展

我們已經看到了活躍的DNS誤植活動，特別是在俄羅斯，針對各種VPN和託管服務提供商。（感謝dustyfresh的發現）。

該計劃非常聰明，他們註冊了大量不正確的域名，將其affiliate ID注入302重定向到合法網站。受害者幾乎看不見，當用戶從訪問的網站購買任何東西時，攻擊者將分享部分利潤。

據證實，一個濫用公司（還有許多其他公司）就已經為一個犯罪團伙提供了400美元。

6

結論

儘管我們已經證明它可以用於欺詐或者公司間諜活動的針對性或機會主義的攻擊，但從統計數據可以看出，鮮有人會濫用這種方式來大量大規模傳播勒索軟體。

例如，一位威脅角色的扮演者可能想要利用這種方法來感染某個公司區域網內的計算機。假設你是針對「隨機大公司」，他們有一些內部和外部域名，我敢打賭你可以買幾十個誤植域名，並在不到一個月的時間裡滲透進去。只需要等待幾天/周，直到有人犯下第一個錯誤並緊接著帶來大規模感染[1]：因此，你進入了目標。這像極了我們之前模擬的情況。

[1] 算不上0day，但用來網路釣魚也非常好;-)

7

如何保護自己？

網路安全專家提醒您應該從標準的企業安全和最佳實踐開始（要事第一！）：

記錄所有內容，包括DNS請求。然後，您可以在訪問新註冊的域名（

如果你想要更主動一些，你一定要嘗試下Dnstwist這個相似/釣魚域名監測工具。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！