你可能會(huì)認(rèn)為釣魚網(wǎng)站很難檢測(cè)和跟蹤，但實(shí)際上，許多釣魚網(wǎng)站都包含唯一標(biāo)識(shí)它們的HTML片段。本文就以英國皇家郵政(Royal Mail)釣魚網(wǎng)站為例來進(jìn)行說明，它們都包含字符串css_4WjozGK8ccMNs2W9MfwvMVZNPzpmiyysOUq4_0NulQo。

這些長而隨機(jī)的字符串是追蹤釣魚網(wǎng)站的絕佳指標(biāo)，幾乎可以肯定，任何含有css_4WjozGK8ccMNs2W9MfwvMVZNPzpmiyysOUq4_0NulQo的網(wǎng)頁都是皇家郵政釣魚工具的實(shí)例。

但是，像這樣的獨(dú)特字符串最終如何成為檢測(cè)網(wǎng)絡(luò)釣魚工具標(biāo)識(shí)的呢?

不幸的是，我們并不是RFC 3514的模仿者，在RFC 3514中，如果所有的IP數(shù)據(jù)包是惡意的，那么它們都包含一個(gè)標(biāo)志信號(hào)。不，這些識(shí)別字符串完全是由釣魚工具開發(fā)者無意中包含的。

釣魚工具是如何誕生的?

釣魚網(wǎng)站試圖盡可能接近他們真正的目標(biāo)網(wǎng)站，然而，大多數(shù)釣魚者并不具備復(fù)制公司網(wǎng)站的技能。相反，他們采用了快捷方式，只是假冒了原始網(wǎng)站的HTML并對(duì)其進(jìn)行了一些小的調(diào)整。

假冒目標(biāo)網(wǎng)站并將其變成釣魚工具的過程大致如下：

(1) 使用諸如HTTrack之類的工具復(fù)制目標(biāo)網(wǎng)站，甚至只需在網(wǎng)絡(luò)瀏覽器中點(diǎn)擊文件→保存即可。

(2) 調(diào)整HTML以添加一個(gè)請(qǐng)求受害者個(gè)人信息的表單。

(3) 將其與PHP后端粘合在一起，以保存收集到的數(shù)據(jù)。

然后，可以將該工具包輕松部署到便宜的托管服務(wù)提供商上，并準(zhǔn)備收集受害者的詳細(xì)信息。

(4) 通過復(fù)制整個(gè)網(wǎng)頁，釣魚者幾乎不需要什么技巧或精力即可獲得一個(gè)超級(jí)逼真的釣魚頁面。但是，這種假冒模式意味著他們的釣魚頁面充滿了他們實(shí)際上并不需要的東西。

特別是，原始網(wǎng)站中的任何特殊字符串都有可能意外地出現(xiàn)在最終的釣魚工具中。這對(duì)我們來說很好，因?yàn)閷ふ姨厥庾址且环N非常容易和可靠的方法來檢測(cè)釣魚網(wǎng)站。

所謂的特殊字符串就是一個(gè)足夠長或復(fù)雜的字符串，該字符串在整個(gè)互聯(lián)網(wǎng)上都是獨(dú)一無二的，這可能是因?yàn)樗请S機(jī)字符(如64a9e3b8)或只是因?yàn)樗銐蜷L。

那么，問題來了：為什么在最初的網(wǎng)站中會(huì)有這些字符串?事實(shí)證明，在現(xiàn)代開發(fā)實(shí)踐中，網(wǎng)站到處都是這些足夠長或復(fù)雜的字符串。

網(wǎng)頁中長或復(fù)雜的字符串是怎么來的?

現(xiàn)代網(wǎng)站很少是100%靜態(tài)的內(nèi)容，當(dāng)前的開發(fā)實(shí)踐和網(wǎng)絡(luò)安全特性意味著，有多種方法可以使冗長的隨機(jī)字符串最終出現(xiàn)在網(wǎng)站中。以下是我所見過的各種來源的概述：

1. 文件名中的哈希

現(xiàn)代網(wǎng)站通常使用諸如Webpack或Parcel之類的“捆綁包”進(jìn)行處理，這些捆綁包將所有JavaScript和CSS組合成一組文件。例如，網(wǎng)站的sidebar.css和footer.css可能合并為一個(gè)styles.css文件。

為了確保瀏覽器獲得這些文件的正確版本，捆綁程序通常在文件名中包含一個(gè)哈希。昨天你的網(wǎng)頁可能使用的是styles.64a9e3b8.css，但是在更新你的樣式表之后，它現(xiàn)在使用的是styles.a4b3a5ee.css。這個(gè)文件名的改變迫使瀏覽器獲取新的文件，而不是依賴于它的緩存。

但這些足夠長或復(fù)雜的文件名正是最近皇家郵政(Royal Mail)的釣魚工具被發(fā)現(xiàn)的原因。

當(dāng)釣魚者假冒真正的皇家郵政網(wǎng)站時(shí)，HTML看起來是這樣的：

不幸的是，不管他們用什么技術(shù)來假冒網(wǎng)站，文件名都沒有改變。因此，通過urlscan.io查找大量使用CSS文件的釣魚網(wǎng)站是很容易的：

2. 版本控制參考

網(wǎng)絡(luò)釣魚者針對(duì)的任何網(wǎng)站很可能都是由一個(gè)團(tuán)隊(duì)開發(fā)的，他們很可能會(huì)使用git等版本控制系統(tǒng)(VCS)進(jìn)行協(xié)作。

一個(gè)合理的常見的選擇是在網(wǎng)站的每一個(gè)構(gòu)建中嵌入一個(gè)來自VCS的參考，這有助于完成諸如將漏洞報(bào)告與當(dāng)時(shí)正在運(yùn)行的代碼版本相關(guān)聯(lián)之類的任務(wù)。

例如，Monzo網(wǎng)站使用一個(gè)小的JavaScript代碼片段嵌入了git commit哈希：

VCS參考資料對(duì)于安防人員來說非常有用，因?yàn)樗鼈兒苋菀自诎姹究刂葡到y(tǒng)中找到。如果你發(fā)現(xiàn)一個(gè)釣魚網(wǎng)站無意中包含了VCS參考，你就可以直接查找該網(wǎng)站的編寫時(shí)間(也就是該網(wǎng)站被假冒的時(shí)間)。

3. SaaS的API密鑰

網(wǎng)站經(jīng)常使用各種第三方服務(wù)，如對(duì)講機(jī)或reCAPTCHA。為了使用這些服務(wù)，網(wǎng)站通常需要包含相關(guān)的JavaScript庫以及一個(gè)API密鑰。

例如，Tide使用reCAPTCHA，并將這段代碼作為其集成的一部分：

因?yàn)閞eCAPTCHA “sitekey” 對(duì)每個(gè)網(wǎng)站來說都是唯一的，因此任何包含字符串6Lclb0UaAAAAAJJVHqW2L8FXFAgpIlLZF3SPAo3w且不在tide.co上的頁面都很可能是假冒的網(wǎng)站。

雖然SaaS API密鑰是非常獨(dú)特的，并且具有很好的指示作用，但它們變化非常少，因此無法區(qū)分從同一網(wǎng)站假冒出來的不同釣魚工具。一個(gè)網(wǎng)站可能會(huì)使用相同的API密鑰達(dá)數(shù)年之久，因此在那時(shí)創(chuàng)建的所有工具包都將包含相同的密鑰。出于同樣的原因，API密鑰對(duì)于識(shí)別何時(shí)創(chuàng)建網(wǎng)絡(luò)釣魚工具包也沒有任何幫助。

4. 跨站請(qǐng)求偽造(CSRF)令牌

事實(shí)證明，許多網(wǎng)絡(luò)安全最佳實(shí)踐也使網(wǎng)絡(luò)釣魚成為重要的指標(biāo)。其中最常見的可能是“跨網(wǎng)站請(qǐng)求偽造”(CSRF)令牌。

簡(jiǎn)單地說，CSRF是一個(gè)漏洞，惡意網(wǎng)站可以借此誘騙用戶在目標(biāo)網(wǎng)站上執(zhí)行經(jīng)過身份驗(yàn)證的操作。例如，此HTML創(chuàng)建了一個(gè)按鈕，點(diǎn)擊該按鈕可將POST請(qǐng)求發(fā)送到

https://example.com/api/delete-my-account"：

如果example.com不能防御CSRF，它將處理此請(qǐng)求并刪除毫無戒心的用戶帳戶。

防御CSRF的最常見方法是使用所謂的CSRF令牌，這是一個(gè)嵌入在每個(gè)網(wǎng)頁中的隨機(jī)值，服務(wù)器希望將其與敏感請(qǐng)求一起發(fā)送回去。例如，example.com的“刪除我的賬戶”按鈕應(yīng)該是這樣的：

服務(wù)器將拒絕任何不包含預(yù)期隨機(jī)值的請(qǐng)求。

CSRF令牌非常適合檢測(cè)釣魚網(wǎng)站，因?yàn)閺脑O(shè)計(jì)上看，它們是獨(dú)一無二的。

5. 內(nèi)容安全策略隨機(jī)數(shù)

內(nèi)容安全策略(CSP)是一種較新的安全手段，可幫助防御跨網(wǎng)站腳本(XSS)攻擊。它允許開發(fā)人員指定策略，比如只允許特定域的< script >標(biāo)記，或更有趣的是，對(duì)于我們的用例，僅允許包含指定“nonce”的< script >標(biāo)記。

要使用基于隨機(jī)數(shù)的CSP，網(wǎng)站需要包含以下政策：

并使用具有匹配隨機(jī)值的腳本標(biāo)簽：

這有助于防止XSS攻擊，因?yàn)閻阂庾⑷氲腏avaScript不會(huì)具有匹配的現(xiàn)時(shí)值，因此瀏覽器將拒絕運(yùn)行它。

就像CSRF令牌一樣，CSP隨機(jī)數(shù)也構(gòu)成了完美的網(wǎng)絡(luò)釣魚工具包檢測(cè)器：它們的設(shè)計(jì)不可篡改，因此通常會(huì)為每個(gè)請(qǐng)求隨機(jī)生成長且復(fù)雜的字符串。

6. 子資源完整性哈希

現(xiàn)代瀏覽器中可用的另一個(gè)安全功能是子資源完整性(SRI)，通過允許你指定期望內(nèi)容的哈希值，可以保護(hù)你免受惡意修改的JavaScript / CSS的侵害。當(dāng)瀏覽器加載受SRI保護(hù)的JavaScript / CSS文件時(shí)，它將對(duì)內(nèi)容進(jìn)行哈希處理并將其與HTML中的預(yù)期哈希進(jìn)行比較。如果不匹配，則會(huì)引發(fā)漏洞。

例如，以下是研究人員的博客如介紹的如何將子資源完整性用于其CSS：

這個(gè)SRI哈希值是根據(jù)研究者網(wǎng)站上所有CSS計(jì)算得出的，結(jié)果，盡管研究者使用的是公共博客模板，但極不可能有另一個(gè)網(wǎng)站具有相同的哈希值，他們必須使用完全相同的模板版本，并且必須包含所有相同的插件。

對(duì)于自定義網(wǎng)站比研究者更多的公司，實(shí)際上可以確保沒有其他網(wǎng)站擁有完全相同的CSS。

如何使用這些長且復(fù)雜的字符串來防御網(wǎng)絡(luò)釣魚

下次當(dāng)你分析網(wǎng)絡(luò)釣魚網(wǎng)站時(shí)，請(qǐng)注意其中一些有用的長且復(fù)雜的字符串。

文件名中的哈?？赡苁悄阌龅降淖畛Ｒ姷氖纠?，這些也是最有用的，因?yàn)槟憧梢栽趗rlscan.io上搜索文件名以查找同一工具包的其他實(shí)例。

本文翻譯自：https://bradleyjkemp.dev/post/6-ways-to-detect-phishing-sites-using-high-entropy-strings/