攻防最前线:使用假字体来逃避安全检测

栏目: Html · 发布时间: 5年前

攻防最前线:使用假字体来逃避安全检测

Proofpoint研究人员最近 观察 到一种网络钓鱼 工具 包,其特殊编码用于冒充主要零售银行的凭证获取计划。虽然编码源代码和各种混淆机制已在钓鱼工具包中得到充分记录,但这种技术在使用Web字体实现编码方面似乎是独一无二的。

当钓鱼登录页面在浏览器中呈现时,用户将看到一个典型的利用窃取的银行品牌的网上银行证书钓鱼。然而,页面的源代码包含了意外编码的显示文本(图1)。

攻防最前线:使用假字体来逃避安全检测

从网页复制明文并粘贴到文本文件中仍然会产生编码文本。文本可以通过一个简单的字符替换密码进行解码,使自动系统检测钓鱼登录页变得简单。然而,在这种情况下,替换的实现情况值得进一步审查。

钓鱼工具包中的替换函数通常是用JavaScript实现的,但在页面源代码中没有出现这种函数。相反,研究人员在登录页面的CSS代码中标识了替换的来源(图2)。

攻防最前线:使用假字体来逃避安全检测

在审查了许多威胁行动者留下的钓鱼工具副本后,研究者知/fonts/目录在工具包中不存在,因此base64编码的woff和woff2是唯一加载的字体。如果我们提取、转换和查看woff和woff2 web字体文件,我们将看到以下字体规范:(图3)

攻防最前线:使用假字体来逃避安全检测

这种钓鱼登录后利用自定义web字体文件,使浏览器呈现密文为明文。由于Web开放字体格式(WOFF)期望字体按标准字母顺序排列,将预期字母“abcdefghi ...”替换为要替换的字母,预期文本将显示在浏览器中,但不会存在于页面上。

同样值得注意的是,被盗的银行品牌是通过SVG(可伸缩向量图形)呈现的,因此logo及其来源不会出现在源代码中。

研究人员在2018年5月首次观察到这种工具包的使用,但它很有可能更早出现在野外。他们在该工具包样本中观察到的资源文件的存档日期大多为2018年6月初。

威胁行动者持续引入新技术,以逃避检测,并向毫无戒心的受害者、安全供应商、甚至精明的组织进行品牌滥用,隐藏他们的活动。在本文中,他们开发了一个钓鱼模板,该模板使用自定义web字体实现替换密码和其他技术,以呈现精心制作的钓鱼页面,用于向美国一家主流银行提交凭据。虽然替换密码本身很简单,但通过web字体文件实现的替代密码似乎很独特,这为钓鱼行为者提供了另一种隐藏跟踪和欺骗消费者的技术。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Prometheus: Up & Running

Prometheus: Up & Running

Brian Brazil / O'Reilly Media / 2018-7-9 / USD 49.99

Get up to speed with Prometheus, the metrics-based monitoring system used by tens of thousands of organizations in production. This practical guide provides application developers, sysadmins, and DevO......一起来看看 《Prometheus: Up & Running》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

MD5 加密
MD5 加密

MD5 加密工具