怎么淺析Punycode釣魚攻擊

怎么淺析Punycode釣魚攻擊，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

0x01 Punycode釣魚攻擊

1.1什么是網絡釣魚？

網絡釣魚（Phishing，與釣魚的英語fishing發音相近，又名釣魚法或釣魚式攻擊）是通過大量發送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號ID 、 ATM PIN 碼或信用card詳細信息）的一種攻擊方式。

攻擊者利用欺騙性的電子郵件和偽造的 Web 站點來進行網絡詐騙活動，受騙者往往會泄露自己的私人資料，如信用card號、銀行card賬戶、身份ID號等內容。詐騙者通常會將自己偽裝成網絡銀行、在線零售商和信用card公司等可信的品牌，騙取用戶的私人信息。

PS：來自百度百科的回答

例如常見的電子郵件欺騙，又稱釣魚郵件攻擊，是電子郵件使用過程中面臨的主要威脅。

如何一眼看穿電子郵件詐騙呢？其實，只要細心就能發現。

緊迫感 — 電子郵件聲稱如果不回復密碼或不點擊鏈接，會有什么嚴重后果。

拼寫錯誤 — 郵件中有明顯或故意拼寫錯誤，這是為了避開垃圾郵件過濾器的安全檢查。

發送和回復地址不同 — 電子郵件聲稱來自“A.com”，但回復地址卻是“B.com”。

產品或服務不一致 — 牛頭不對馬嘴，騰訊QQ公司發郵件說你的陌陌賬號存在風險。

字符相似性混淆 —  boss@a.com 和 b0ss@a.com ，你發現了有什么不同嗎？

1.2釣魚可能產生的危害有哪些？

例如：

文件通過PNG隱寫技術將真正的模塊隱藏在自身攜帶的圖片資源中，在運行時從圖片中動態提取出惡意模塊，然后直接在內存（PE）中加載執行。

1.3釣魚四步走

• 看天

根據不同國家或地區，看看當前國情和時事，發現哪些目標和人群適合釣魚攻擊，進行定點釣魚。

• 選竿

選擇特定的目標人群。

• 做餌

制作具有誘惑性的文件、圖片（隱寫術）、木馬、執行文件等等釣魚工具（免殺）。

• 上大魚

最后，就是等待傻魚的上鉤咯。

0x02 Punycode釣魚攻擊介紹

釣魚攻擊，“幾乎無法檢測”，即便平時十分謹慎的用戶也可能無法逃過欺騙。

在某些釣魚場景中，黑客可利用Chrome、Firefox和Opera瀏覽器中的已知漏洞，將虛假的域名偽裝成蘋果、谷歌或者亞馬遜網站，以竊取用戶的登錄憑證、金融憑證或其他敏感信息。

2.1同形異義字攻擊

同形異義字攻擊自2001年以來就已為人所知，但是瀏覽器廠商修復該問題的過程卻很艱難。這種欺騙攻擊就是網址看起來是合法的，但實際上不是，因為其中的一個字符或者多個字符已經被Unicode字符代替了。

許多Unicode字符，代表的是國際化的域名中的希臘、斯拉夫、亞美尼亞字母，看起來跟拉丁字母一樣，但是計算機卻會把他們處理成完全不一樣網的網址。

比如說，斯拉夫字母“а” （U+0430）和拉丁字母“a”（U+0041）會被瀏覽器處理成不同的字符，但是在地址欄當中都顯示為“a”。

備注：

早期的DNS（Domain Name System）是只支持英文域名解析。域名的編碼字符集是ASCII碼。在IDNs（國際化域名international domain names）推出后，為了保證兼容以前的DNS，所以，對IDNs進行punycode轉碼，轉碼后的punycode就由26個英文字母+10個數字，還有‘-’組成。

ASCII碼：ASCII碼是基于拉丁字母的一套電腦編程系統，主要用于顯示現代英語和其他西歐語言。它被設計為用1個字節來表示一個字符，所以ASCII碼表最多只能表示2**8=256個字符。實際上ASCII碼表中只有128個字符，剩余的128個字符是預留擴展用的。

Unicode：隨著世界互聯網的形成和發展，各國的人們開始有了互相交流的需要。但是這個時候就存在一個問題，每個國家所使用的字符編碼表都是不同的。這個時候，人們希望有一個世界統一的字符編碼表來存放所有國家所使用的文字和符號，這就是Unicode。Unicode又被稱為 統一碼、萬國碼、單一碼，它是為了解決傳統的字符編碼方案的局限性而產生的，它為每種語言中的每個字符設定了統一并且為之一的二進制編碼。Unicode規定所有的字符和符號最少由2個字節（16位）來表示，所以Unicode碼可以表示的最少字符個數為2**16=65536。

IDN：國際化域名（英語：Internationalized Domain Name，縮寫：IDN）又稱特殊字符域名，是指部分或完全使用特殊的文字或字母組成的互聯網域名，包括法語、中文、斯拉夫語、泰米爾語、希伯來語或拉丁字母等非英文字母，這些文字經多字節萬國碼編譯而成。IDN的域名是使用unicode字符集。

計算與知名網址的相似度

此時這個待檢測域名被映射成一個它所有可能的相似域名，這時候將top2w的知名網址域名與這個相似域名做一個交集，如果該域名是由IDN域名衍生而來的，則只要這個域名與知名網站有交集則認定這個域名有高度偽造嫌疑，因為常常使用IDN域名的情況通常是有偽造嫌疑的。

如果該域名不是由IDN域名衍生而來的，則判斷與知名網站域名交集個數是否為1（這里的意義在于偽造的域名具有極強的針對性）而且判斷這兩個域名之間的編輯距離是否為1。

因為部分知名網站中的域名本身就十分相似，如果這個‘惡意’域名與多個知名網站域名相似，則反映出針對性不強，且更容易誤報。

再者，根據統計，90%的域名偽造行為編輯距離都等于1，也就是說，大部分偽造域名只會替換其中的一個字符（畢竟字符替換多了，人就更容易察覺其中的不同）。

2.2那么Chrome、Firefox和Opera瀏覽器的漏洞又是來自哪里？

經測試Chrome、Firefox和Opera能夠直接在地址欄中顯示Unicode字符，我們即可注冊Unicode域名對應的Punycode轉碼后的域名，在瀏覽器中輸入網址后會直接顯示Unicode字符。

一般來講，我們在打開某一個陌生的頁面后，會查看瀏覽器加載出來后檢查地址欄，看看地址是否由有效的HTTPS連接提供或域名是不是就是真的域名（例如：www.baidu.com）。對吧？

本次，我們主要要講的是利用Punycode轉碼后的域名，偽造欺騙。頁面是由發現這一攻擊的中國安全研究員Xudong Zheng創建的，點擊去看看。

www.xn--80ak6aa92e.com

那么，我們來分析哈，我們本來是想要訪問瀏覽器后，能直接被瀏覽器解析為：www.apple.com 的。

先看看www.xn--80ak6aa92e.com解析成中文域名后，是什么樣的，如下：

如果有安裝谷歌，請先卸載掉當前版本（我這里是最新版本），再安裝 56.0.2906.0_chrome64_canary_windows_installer.exe （離線安裝版），此時，我們在谷歌瀏覽器舊版本（56）里訪問www.xn--80ak6aa92e.com之后，谷歌瀏覽器舊版本（56）會自動還原成www.apple.com，在該版本瀏覽器中，我們的瀏覽器是容易遭受“同形異義字攻擊”的。

因為56.0.2906.0_chrome64_canary_windows_installer.exe的瀏覽器只將單一語言采用的Unicode編碼轉換為Ponycode URL （比如漢語或者日語），但是如果一個域名當中包含來自多個語言的字符，瀏覽器就無法分辨了。

那么，我們用最新版的谷歌瀏覽器（本博主最新版谷歌瀏覽器為： 83.0.4103.61（正式版本））再次訪問www.xn--80ak6aa92e.com試試呢？看看結果如何

從上圖，我們可以看出瀏覽器并沒有將URL域名轉發為www.apple.com ，可見在新版本中已修復該漏洞。

Google已經在Chrome Canary 59中修復了這一漏洞，而且發布Chrome Stable 58時，會給出永久的修復方案。

與此同時，建議可能受此釣魚攻擊影響的用戶暫時關閉瀏覽器中的Punycode支持，來分辨釣魚域名，緩解此攻擊。

Punycode的攻擊方式存在兩個明顯的優勢，導致常被攻擊者選取用來攻擊：

Masquarading：從肉眼上很難區分正常域名和punycode偽裝的域名，進行網絡釣魚的成功率很高。

Evasion：從安全防護的角度而言，通常會因為避免大范圍誤報而把含關鍵詞的域名列為白名單，所以可以有效的繞過安全防護產品的威脅情報檢測等功能。

2.3如何防御Punycode釣魚攻擊呢？

用戶在點擊任何通過短信或IM應用程序共享的鏈接之前應保持警惕，即使它們來自于一位可信的聯系人。IDN格式顯示由瀏覽器設計控制，最終用戶在控制如何顯示URL有局限性。主要和最有效的方法是利用密碼管理器在輸入密碼之前檢查URL，這可有效降低用戶向同形異義網址釣魚網站輸入憑證的機會。輔助檢查將有效檢測URL以查看是否有任何明顯的字符切換。

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注億速云行業資訊頻道，感謝您對億速云的支持。