百度螳螂捕蝉，螳螂捕蝉攻略

译者：感兴趣的小肚皮

稿费大概：200元

提交方式：发送邮件至linwei#360.cn或登录网页版在线提交。

一、简介

SMS Privacy 是我创建的私人短信服务，可以用作Tor 中的隐藏服务。事实上，大约10% 的用户以这种方式使用该服务。然而，事实证明有人创建了一个网络钓鱼网站，冒充我的Tor 隐藏服务。在这篇文章中，我将与读者分享我发现的细节。

2. 概述

有一天，查理在浏览互联网时，突然发现在Google 上搜索“site:*.onion.to smsprivacy”会产生意想不到的结果。

虽然smspriv6fynj23u6.onion是合法的隐藏服务名称，但搜索页面显示不同的结果，smsprivyevs6xn6z.onion，对应的站点看起来完全一样。

快速调查发现该网站是一个简单的代理网站。这意味着发送到钓鱼网站的所有页面请求都会转发到真正的隐藏服务，并返回收到的响应数据，除了一些特殊数据。排除：

1. 标头中没有Content-Length 字段。

根据Content-Length 标头，HTTP 客户端可以了解正在发送的内容的字节数。如果您的代理服务器不修改响应数据，则可以直接传递此字段，而无需修改Content-Length 标头。这是因为代理服务器知道，如果内容不改变，数据长度也不会改变。

然而，该代理服务器期望响应内容被修改。这意味着服务器准备在某些情况下改变响应内容。

在这种情况下，为什么不更改Content-Length 字段以对应于更改后的内容长度呢？

您的代理服务器可能希望加快页面加载时间。如果代理服务器不需要提前知道长度值，可以直接将数据流发送给客户端，收到响应内容后修改数据。发送过程中。如果代理服务器必须读取所有内容、修改内容，然后发送所有数据，则可能会增加页面加载时间并给用户造成不信任感。

也许代理服务器作者无法接受存储所有内容所需的高内存负载。如果同一台服务器代理数十到数百个其他隐藏服务，则这种方法是可以理解的。

2. 标头中的Connection 字段不正确。

合法网站和钓鱼网站的响应头对比如下。

合法网站：

钓鱼地点：

标头中的Connection 字段已从keep-alive 更改为[object Object]。使用JavaScript 语言将对象转换为字符串时，如果该对象未实现toString() 方法，则会得到此结果。这条线索非常重要，因为它告诉您代理服务器正在运行什么样的软件。

您的代理服务器可能正在使用NodeJS。该错误无法使用node-http-proxy或Harmon重现（Harmon是node-http-proxy的中间件，用于修改响应数据）。您的代理服务器可能正在使用自定义解决方案。如果有人知道任何将连接标头更改为[object Object] 的有问题的软件，请立即告诉我。

3.代理服务器缓存意外的JavaScript文件（也可能缓存其他文件）。

添加了Javascript 来检测页面是否在无效域上运行。如果执行，该脚本将POST document.referrer 信息以供以后分析。我们发现，如果您使用的是合法网站，您的浏览器会更改它正在使用的脚本，但如果您使用的是钓鱼网站，您会得到旧版本，因此钓鱼网站添加了缓存机制。这样做也可以加快页面加载时间。

在写这篇文章的时候，我尝试研究一下这个缓存机制，发现了一些更有趣的信息。无法检索此信息，因为代理服务器会丢弃跟踪脚本检索到的任何信息。重命名了脚本并更改了一些内容后，问题解决了，但我真的不想玩这种猫捉老鼠的游戏。至少，这种情况意味着有人正在积极维护代理服务，并及时采取措施保持其正常运行。

4.隐藏服务地址将会改变。

代理服务器似乎正在将smspriv6fynj23u6.onion 的所有实例重写为smsprivyevs6xn6z.onion。然而，对于大写地址则不然。

5.您的比特币地址将被更改。

这才是钓鱼网站的真正目的。网络钓鱼网站通常会窃取用户的凭据，以便他们以后可以使用或出售这些信息，但该网站还会将原始的比特币地址更改为攻击者可以控制的地址。我们采取更直接的方法。

当最初重定向到支付页面时，用户在页面加载之前会遇到延迟。这可能是因为代理服务器正在后台生成新的比特币地址（此操作需要时间并且意味着地址被插入到丢失的地址中）。对大型数据库、生成地址缓慢的机器或使用慢速编码语言生成地址的攻击者建立索引。如果是后者，则可能表明RNG（随机数）生成器本身并不安全。 ）。每一个以文本格式表达的比特币地址都会被重写为攻击者可以控制的地址，从而在合法地址和伪造地址之间建立一一对应的映射关系。请注意，二维码并未更改，且对应于原来的合法地址。

我尝试向虚假地址(1GM6Awv28kSfzak2Y7Pj1NRdWiXshMwdGW) 发出付款请求，看看会发生什么。该信息不会显示在网站上，进一步表明这是一个静默代理网站。这笔资金目前尚未使用，但一旦使用，可能会观察到一些有趣的信息。

3. 如何向用户分发假冒网站

当用户查看具有未知域的网站时，JavaScript 会将引用信息发送到服务器，我们会看到返回的几个不同结果。大多数时候，这些信息来自使用网络代理（例如onion.link）查看隐藏服务的用户，但我发现了两个特殊的隐藏服务：

7cbqhjnpcgixggts.onion：“洋葱箱”：这是Tor 隐藏服务的列表。与古老的“网站列表”类似，但专为Tor 设计，网络钓鱼网站被显着标记为“网络钓鱼链接”（尽管Reddit 上有人发布了一个指向“洋葱箱”服务的链接，其本身就是网络钓鱼链接）。

hss3uro2hsxfogfq.onion：“not Evil”：这是一个搜索引擎服务，用于搜索隐藏的Tor 服务。当您搜索“短信隐私”时，合法网站首先出现，网络钓鱼网站其次出现。我点击了网络钓鱼网站旁边的“报告滥用行为”按钮，但它仍然没有从搜索结果中删除。

这没有给我我想要的结果。我想找到某人的虚假推文、博客或类似内容。 “The onion crate”背后的人不太可能负责管理这个网络钓鱼网站。因为如果您希望人们使用您的网络钓鱼网站，您就不能将其标记为“网络钓鱼链接”。虽然罪魁祸首可能是“不邪恶”的搜索引擎管理员，但这种情况是不现实的。如果我管理一个搜索引擎的目的是向用户推送网络钓鱼链接，我不会在搜索结果中包含任何合法链接，更不用说将它们排名第一了。

很有可能正在准备真正的钓鱼攻击，并且在2017年5月17日，“洋葱盒”标记了钓鱼链接，表明该钓鱼网站已经存在一段时间了。

4. 罪魁祸首是谁？

最有可能的结果是，一个普通的网络犯罪分子创建一个代理服务器，用自己的地址替换比特币地址，为各种合法的隐藏服务生成许多虚假的隐藏服务，然后坐等钱滚进你的钱包。

起初我以为情报机构想要监控用户的私人短信，但如果是这样的话，他们就不会改变他们的比特币地址并禁用该网站，而是会悄悄地监控它。他们怀疑情报机构设计该网站的目的是仅监听选定的一组用户并向其他人提供通用的网络钓鱼网站，但他们认为“我认为最有可能是普通网络犯罪分子”。

与传统的网站网络钓鱼相比，隐藏隐藏的网络钓鱼服务要容易得多。这是因为隐藏服务服务器不容易被发现（这也是隐藏服务的设计理念）。这意味着即使是合法站点的地址中也会包含随机字符。获得假地址也很容易。即使随后发现假冒钓鱼网站，也没有人可以撤销攻击者的域名或关闭托管页面。这是一次完美的犯罪，但唯一的缺点是，隐藏服务站点往往比普通站点针对技术含量更高的用户群，因此它们不那么容易被愚弄。

5. 用户如何保护自己

SMS Privacy 客户，请确保您在浏览smsprivacy.org 时使用HTTPS，并且如果您使用Tor，则使用的隐藏服务名称是正确的smspriv6fynj23u6.onion 您需要确保这一点。此外，任何其他访问方法几乎肯定会带来安全风险。

6. 有用户受到影响吗？

我还没有收到用户关于付款发生异常的投诉电子邮件（当然不是，但所有错误最终都是由于我自己的错误造成的），而不是由于用户无意中访问了钓鱼网站造成的）。所以我认为目前没有任何用户受到影响，或者至少没有大量用户受到影响。

7. 尸检

我的猜测是，运行此代理的软件还代理许多其他隐藏服务。如果你想编写代码来代理隐藏服务，只需将域名更改为你自己的域名，将比特币地址更改为你自己的地址，整个过程就差不多完成了。如果攻击者没有这样做，我会感到惊讶，因为代理服务可以放置在许多上游隐藏服务的前面，而无需额外的努力或资源。

事实上，如果您设法找到另一个Tor 隐藏服务钓鱼网站，它们具有相同的特征（即Connection: [object]、缺少Content-Length 字段、小写重写隐藏服务地址、访问未知主机名时分析代码（比特币地址在首次出现时会被延迟并返回500 响应）也得出了一些有趣的结论。

此外，探索该网站并查看是否可以找到代理的隐藏服务的完整列表也会很有趣。攻击者可以在代理代码中实现主机名选择功能。这意味着对不同钓鱼网站的请求可能会返回来自其他钓鱼网站的内容。如果发生这种情况，您可以确信代理站点正在同一主机上运行。

八、总结

找到积极参与这项活动的人是非常有趣的。如果您稍微思考一下，您就会发现大规模部署此方案非常容易。攻击者只需一周即可建立一个基本系统。工作环境。如果将来出现许多具有隐藏服务的网络钓鱼站点，我不会感到惊讶。

9. 更新于2017-10-13

本文发表后，我们根据“跟进”部分的建议进行了研究。我在“洋葱箱”中搜索了其他钓鱼链接，发现了一个网站，该网站的响应头中包含Connection: [object Object] 信息，并且还传递了虚假的短信隐私隐藏服务地址。调查发现，这个无关的隐藏服务还提供了虚假的短信隐私内容。这表明这两个站点可能托管在同一主机上并由同一运营商（或组织）维护，支持该系统的规模。

$ torsocks 卷曲-I -H 'Host: smsprivyevs6xn6z.onion' http://cbc66yz75virnj7.onion

HTTP/1.1 200 好

服务器： nginx/1.10.2

日期： 2017 年10 月13 日星期五16:26:10 GMT

Content-Type: text/html;charset=UTF-8

Connection: [对象对象]

Set-Cookie: mojolicious=eyJsYW5kaW5nX3VybCI6Ii8iLCJhYnRlc3RzIjp7ImxhbmRpbmdfdXJsIjoiLyIsInNpZ251cGxpbmsiOiJvcmlnaW5hbCIsInJlZmVyX3NyYyI6Im5vbmUiLCJo aWR kZ W5fc2VydmljZSI6ImhpZGRlbiJ9LCJleHBpcmVzIjoxNTA3OTE1NzE1LCJjc3JmX3Rva2VuIjoiZmQzNjc4NzcyMjRiNDZkZWZhYjNhM2ViZDIwMDY0ZmRmMDliZmQ0NCIsImFidGVzdHNfc2V httpOn ly

X-Frame-Options: 拒绝