08月08, 2014

“空手套白狼”——空链接钓鱼一例

前段时间,360安全响应中心发现到了一个钓鱼页面。乍看下非常难过普通——一个虚假的“爸爸去哪 第二季”的中奖信息,钓鱼这种手段向来是以紧跟时代脉搏著称的,自然是什么最火就冒充什么。但就当我们准备按照普通的钓鱼处理的时候却发现了一个很有趣的问题——这个钓鱼页面根本就是个空链接……

空链接钓鱼这个到底是何解?”about:blank”的页面怎么会出现钓鱼内容?待我慢慢拆解

来源页面

首先,这个钓鱼页其实是来自于另一个钓鱼页。而这个页面是个有地址的正常网页,页面内容如下:

mmfa

其实这个就是个图片,跳转是由一段js代码实现的,而问题就出在这段js代码上!

JavaScript代码

让我们先来看下这段js代码(注释是我自己添加的)

<script type="text/javascript">
    /*获取id为“img”的页面元素*/
    var t = document.getElementById("img");
    t.src="mmfa.png";

    /*为img元素添加onclick属性*/
    t.onclick = function(){
        document.cookie = "uid=abc";
        /*打开一个空链接*/
        win = window.open("", "_blank", "");
        win.opener=null;
        /*在刚打开的空连接页面中写入内容*/
        win.document.write("<html><head><title>活动中心</title></head><frameset><frame src='ok'></frameset></html>");
        win.document.close();
        window.open('', '_self');
        window.close();
    }
</script>

相信大家已经看出问题来了:他先打开了一个空链接,再调document.write在这个空链接中邪页面内容。

很简单的一步操作,但目的非常明确——绕过网页安全检测程序的检查。打开的是“about:blank”,相信不会有哪家安全软件把“about:blank”标记黑危险网站——如意算盘打的响啊。

说明

最后做几点说明:

1.这种“about:blank”内潜入恶意页面的,360是可以拦截的。

2.出于“保障用户安全是第一要务”的原则,是先处理的钓鱼站再来写这篇分析的。写这篇分析的时候钓鱼站站长已经很识趣的把网站撤下来了,所以很遗憾我无法截拦截图。

3.其实原作者也是想多了,因为要弹出这种页面,必然要通过父页面的js脚本跳转,其实直接拦截父页面就好了。

4.再一次提醒大家——钓鱼无处不在,千万不要相信天上掉馅饼的美事,自己多加小心才是王道。

本文链接:http://blogs.360.cn/post/phishing_page_in_blank_url.html

-- EOF --

Comments