URLMon系统提供恶意链接检测能力,可有效识别网页挖矿、暗链、重定向链接、下载链接、网页挂马、诈骗链接、非法交易链接、钓鱼网址、短链接等。
系统地址:https://urlscan.watcherlab.com/
API接口:提供API检测能力接口,通过接口提交域名、IP、URL进行检测。
本文主要介绍专项能力之URL重定向检测。URL重定向也称URL跳转,指的是网络应用程序接受用户可控的输入作为到外部站点的链接,然后在重定向中使用该链接。该安全漏洞给网络钓鱼攻击提供了极大的便利,攻击者使用可信方的域名(比如一个比较出名的公司域名往往会让用户放心的点击)做掩盖,而最终跳转的是个钓鱼网站。
通过Refresh、Location或者link标签设置重定向页面,可以指定跳转后的URL。
JavaScrip实现页面跳转重定向可以采用window.location.replace("URL")或者类似点击 a 标签的链接的方式跳转到指定的 URL。
3)页面重定向
比如asp页面采用如下信息,<body onload="parent.location='http://test.com/”,访问时候会进行页面跳转。
3 下 载 URL
在重定向的URL中,有一种特殊的URL,就是重定向的链接是可直接下载文件的链接,通过跳转后,浏览器访问后会自动下载指定的各种文件。这些文件可能是攻击者提供的恶意程序文件。
系统能够自动识别“文件下载”类的链接,并自动提取文件名、Hash等信息。
常见的文件下载方法有a标签下载、window.open下载、location.href下载、文件流转blob对象下载。下载文件的类型可以指定,包括sh、png、pdf、exe、xlsx等PE文件。
通过Hash,可以自动关联威胁情报平台,对该文件进行是否恶意的判定。
我们会逐步推出URLMon系统的各种实践场景,欢迎关注!
叠加赋能、共建生态,打造精细化高效率分析引擎!
道长且阻、行则将至,做数字经济时代安全守望者!
watcherlab
做数字经济时代的安全守望者
长按扫码可关注
原文始发于微信公众号(守望者实验室):URLMon应用实践(2):移花接木,URL重定向(跳转)的自动化检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论