币安网 
欧易OKX 
HTX 
Coinbase 
芝麻开门 
Bitget 
Bybit 
Crypto.com 
Bitfinex 
抹茶 
如果您留下了数字足迹((破坏者:是的话)),那么您就会被关注。仅仅因为您关闭帐户,切换域名或获得新的Twitter句柄,并不意味着您的旧曲目会消失。实际上,您在线留下的足迹可能会成为关键漏洞。
在Kraken Security Labs,我们努力在恶意分子发现之前,针对加密社区发现可能的攻击媒介。最好的方法之一就是弄清楚我们可能如何攻击自己,尤其是我们的首席执行官杰西。
免责声明:如果您在一家与Kraken没有相同严格安全立场的公司工作,请在尝试砍死CEO之前三思。
- 确定目标范围
任何好的攻击都始于侦察,而我们几年前偶然发现了一条有趣的推文:
快速搜索显示,2014年有很多人发了类似的推文,包括支持该项目的Tyler和Cameron Winklevoss。
我们访问了onename.io,并得到了一个空白的Heroku页面(Heroku是用于构建网站的云平台),表示该网站已不再设置,但也未停用。
- 至此,漏洞很明显。具有Heroku帐户的任何人都可以将此域添加到他们的个人资料中,并提供他们想要的任何内容。
- 这种域接管攻击在漏洞赏金社区中非常普遍,以至于一个黑客甚至维护了一个数据库( https://github.com/EdOverflow/can-i-take-over-xyz )来检查常见的悬空服务。
- 声称该域就像升级到高级Heroku帐户并将该域添加到项目一样简单, 由于DNS记录已经存在,因此不需要Heroku方面的其他检查。
- 后来我们得知,onename.io在2015年左右被onename.com取代。实际上,杰西的个人资料已复制到onename.com,这表明onename是一项服务,用户可以在其中验证其PGP密钥和比特币接收地址。
- 设置陷阱
我们立即将域添加到我们的Heroku帐户,并开始收集日志以查看是否有用户会访问该站点。
- 然后,我们克隆了Jesse的页面,并将其设置为捕获提交的所有用户名和密码。
- 我们将比特币的接收地址和PGP密钥编辑为我们控制的密钥,并添加了Javascript代码,这些代码会抓取有关他的浏览器,平台和位置的信息。
- 我们还可能注入恶意软件,例如最近两次针对Coinbase的Firefox 0天。
- 行动站
准备好攻击之后,我们需要Jesse访问他先前发布的链接。我们知道时间安排很重要,因此我们利用Twitter通知和名为Zapier的服务让我们知道Jesse在平台上处于活动状态的时间(即,他何时发推文或喜欢发推文)。
- 我们创建了虚假帐户,并开始回复2014年的推文,希望一个好奇的Jesse能够在onename.io处检出我们的恶意网站。
- 这没用。即使我们确实确实向假地址发送了捐款,也没有其他用户单击该链接。我们决定改变策略,从一般的赞美转移到轻微的烦恼。
- 即使此回复是在Jesse浏览Twitter的几秒钟内发送的,我们仍然没有任何访问。也许就是体积,所以我们制造了一些虚拟的来回火焰。
- 最终,尝试直接引用引用该页面的推文。尽管这最初似乎并不奏效,但日志显示有人清楚地遵循了Twitter链接来访问该页面(而不是跟随链接的搜索引擎机器人)。
- 从我们的跟踪记录的信息,例如用户代理,IP地址和引荐来源,似乎证实了在Jesse时间轴上进行讨论后有人点击了该链接。我们无法识别访问者,尽管此人查看了我们的恶意网站,但他们没有输入任何敏感信息,因此对他们表示敬意。
- 对于域所有者,战利品
尽管杰西(Jesse)是我们的主要目标,并且我们并未尝试吸引任何其他用户,但在该网站在线的4周内,我们观察到了来自世界各地的数百次访问。
所有访客的世界地图
- 尽管这项服务已失效,但Onename网站似乎仍然吸引着人类访客,主要是来自以下个人资料链接或其他指向它的领域。
- 尽管大部分流量来自搜索机器人和抓取工具,但我们观察到偶尔出现的模式,例如延误,错别字和重复请求,这些似乎都指向人类。
- 我们甚至观察到多个用户试图向我们提交其用户名和密码。
- 这些访问者已安全地重定向到实际的onename.com网站,但不道德的攻击者可能能够利用与域关联的固有信任,并被动收集凭据而不会引发警报,包括来自仅在输入密码之前检查URL的密码管理器发出的警报。
- Kraken的任务是保护和发展加密货币生态系统,因此我们将onename.io返回给Blockstack.org(onename的所有者)。
- 外卖
- 不幸的是,很少有保护自己免受此类攻击的方法。如果没有一种方法来验证该站点仍处于正确的所有权下(例如PGP签名),则可能会构建一个近似相同的副本的站点。
- 在我们的案例中,网站内容实际上是相同的。加密证书是从Heroku部署的,所有页面都可以正常运行,因此很难发现任何差异或危险信号。
- 因此,对于任何公司而言,确保遵循严格的程序来淘汰旧站点和子域都是至关重要的。尽管云服务可以提供惊人的快速性,但与DevOps的平衡是强大的监视功能。
- 此外,这也很友好地提醒您,从客户端到服务提供商的每个人都必须时刻保持警惕,以防欺骗站点。
- 如果您看到了什么,就赚了一些
- 如您所知,我们的安全团队始终在寻找可能对我们的客户构成威胁的漏洞。
- 如果您有兴趣帮助我们确定平台上的潜在错误,请查看我们的Bug赏金计划 。
- 我们为每期问题支付的最低费用为100美元,对于严重威胁,可能还会支付更多费用。