勞動(dòng)節(jié)期間，知道創(chuàng)宇安全研究團(tuán)隊(duì)捕獲到一起高級(jí)釣魚(yú)攻擊，緊急響應(yīng)后，將其攻擊細(xì)節(jié)在這里呈現(xiàn)給大家。經(jīng)知道創(chuàng)宇安全研究團(tuán)隊(duì)推測(cè)，該攻擊手法在幾個(gè)月前已經(jīng)在實(shí)施，而攻擊者為這套計(jì)劃做了精心的準(zhǔn)備。

在拍拍上和賣(mài)家交流后，賣(mài)家發(fā)來(lái)這條消息：

親，親反映的售后服務(wù)問(wèn)題，我們給親退款58元作為優(yōu)惠，親填寫(xiě)下退款信息：http://mcs.paipai.com/RWsiZVpoe

亮點(diǎn)1

被誘騙訪(fǎng)問(wèn)上面這個(gè)鏈接后，會(huì)302跳轉(zhuǎn)到：

這里面是一個(gè)存儲(chǔ)型XSS，這個(gè)XSS不錯(cuò)在于，攻擊者通過(guò)修改自己QQ昵稱(chēng)后，昵稱(chēng)被拍拍讀取并沒(méi)適當(dāng)?shù)倪^(guò)濾就展示出來(lái)了，導(dǎo)致存儲(chǔ)型XSS。如下圖：

上面這個(gè)鏈接的代碼如下：

亮點(diǎn)2

上面紅色標(biāo)注的位置，那個(gè)js鏈接是短網(wǎng)址，這個(gè)手法已經(jīng)司空見(jiàn)慣了，短網(wǎng)址利于迷惑，同時(shí)內(nèi)容短，對(duì)于一些數(shù)據(jù)提交限制長(zhǎng)度的功能來(lái)說(shuō)，這是一個(gè)好方法。

亮點(diǎn)3

打開(kāi)這個(gè)短網(wǎng)址，跳轉(zhuǎn)到了如下鏈接：

http://my.tuzihost.com/qq2.js

這個(gè)鏈接里會(huì)生成一個(gè)拍拍真的頁(yè)面，同時(shí)至少執(zhí)行了如下腳本：

該腳本的作用是專(zhuān)門(mén)盜取Cookie。今年315后，認(rèn)識(shí)Cookie的同學(xué)已經(jīng)很多了，拍拍的Cookie比較脆弱，被盜取就意味著身份權(quán)限被盜。

在qq2.js這個(gè)文件里，攻擊者明顯是做了足夠的研究，包括提取關(guān)鍵Cookie字段。

亮點(diǎn)4

qq2.js所在的my.tuzihost.com首頁(yè)做了偽裝，讓人以為是一個(gè)正規(guī)的導(dǎo)航站。

亮點(diǎn)5

my.tuzihost.com(黑產(chǎn)的服務(wù)器)存在列目錄漏洞以及一些弱口令、配置缺陷等漏洞，通過(guò)這些，知道創(chuàng)宇安全研究團(tuán)隊(duì)查看了攻擊者寫(xiě)的其他代碼，可以看出運(yùn)作這起釣魚(yú)攻擊的黑產(chǎn)團(tuán)隊(duì)的用心了：

攻擊者收集到的Cookie有一部分存入了MySQL數(shù)據(jù)庫(kù);

通過(guò)郵件方式自動(dòng)將盜取到的Cookie發(fā)送到指定郵件賬戶(hù);

攻擊者(或者說(shuō)團(tuán)隊(duì)更合適)不善于隱藏，也許他們分工真的明確，寫(xiě)利用代碼的人不一定參與了攻擊，否則不太可能犯下一些明顯的錯(cuò)誤;

跟蹤發(fā)現(xiàn)，短短1個(gè)月，盜取了10萬(wàn)的拍拍Cookie;

結(jié)束

知道創(chuàng)宇已經(jīng)第一時(shí)間將這個(gè)攻擊反饋給騰訊安全中心，目前該漏洞已被修復(fù)，相關(guān)賬戶(hù)安全問(wèn)題也得到了及時(shí)解決。

這次攻擊實(shí)際上還不高級(jí)，不過(guò)非常有效，釣魚(yú)釣的不是密碼，而是關(guān)鍵Cookie，足矣秒殺拍拍了。實(shí)際上除了拍拍，很多大網(wǎng)站，如淘寶、京東、當(dāng)當(dāng)?shù)榷际艿竭@樣問(wèn)題的影響。知道創(chuàng)宇曾經(jīng)科普過(guò)《關(guān)于社交網(wǎng)絡(luò)里的高級(jí)釣魚(yú)攻擊》，大家可以查看“網(wǎng)站安全中心”的公眾微信號(hào)(ID：wangzhan_anquan)的歷史消息，看看這篇文章。

這次攻擊在黑產(chǎn)中運(yùn)用值得引起業(yè)界的警惕，實(shí)際上過(guò)去幾年，這樣的攻擊出現(xiàn)過(guò)幾起，不過(guò)沒(méi)證據(jù)表明是黑產(chǎn)在運(yùn)用，基本都是：just for joke。