HackerNews

HackerNews
超值999!知道创宇 ZoomEye 终身会员限时回归!基于 ZoomEye 的恶意站点高效发现与扩展实战

超值999!知道创宇 ZoomEye 终身会员限时回归!基于 ZoomEye 的恶意站点高效发现与扩展实战

作者: hackernews 日期: 2025-11-10 分类: 推荐阅读
给文章评分:

摘要

在网络威胁高度工业化的今天,攻击者通过模板化工具与自动化流程大规模构建克隆钓鱼站,重点瞄准金融、社交与企业邮箱等高价值目标。

本文基于实战案例,介绍如何利用知道创宇 ZoomEye 的多维检索能力——结合 HTTP 标题、HTTP 正文、ICON、IP 解析与前端痕迹(如 Telegram Bot),把零散痕迹转化为可操作情报与持久检测特征规则,实现对恶意站点的高效发现与扩展,为威胁分析师提供可复用的实战思路。

概述

威胁狩猎的核心不是发现单个页面,而是识别能够泛化的指纹特征,并据此做横向扩展。本文的方法论可概括为三步:

  1. 初次发现:从单个可疑页面中提取高信噪比特征(标题、正文中特殊字符串、iconhash、证书信息、前端API调用等)。
  2. 横向扩展:基于初次发现结果,在 ZoomEye 中进行精确检索(按 IP、iconhash、http.body、title 等),识别同一批次或同一基础设施下的其他恶意资产。
  3. 交叉验证:结合证书、域名注册信息、时间窗口与托管/解析习惯,对命中结果去噪并标注处置优先级。


以下各节分别以实例说明每种特征的提取与检索策略,并给出实用查询示例。

通过HTTP正文特征发现克隆钓鱼站

攻击者经常在钓鱼页面中复制目标站点的部分文字或版权信息,这些字符串在合法站点以外出现时,具备很强的指示性。示例流程(Coinbase交易所):

  1. 访问 Coinbase交易所 官方站点,在官方站点读取独有字符串(例如版权语句):"© 2025 Coinbase"1
  2. 在 ZoomEye 中查询包含该字符串的站点,并排除官方域名与证书,从而聚焦疑似克隆钓鱼站 http.body="2025 coinbase" && domain!="coinbase.com" && ssl!="coinbase" 2 要点:选择不太可能被第三方正常复用的长字符串或格式(如版权行、资源文件名、带时间戳的路径),能显著提高命中率和精确度。

解析IP并做横向追查

       攻击者常把多个恶意域名解析到同一台服务器(同一 IP),既降成本,又能在域名被封时快速切换。我们发现一个恶意站点后,解析其域名获得 IP,在 ZoomEye 中查询该 IP 的相关网络资产,通常能横向枚举出更多相关恶意域名与页面。示例查询:针对前文提及Coinbase交易所仿冒站点的解析IP地址 5.254.129.71 进行查询,可命中 29 条与交易所高仿克隆相关的恶意站点,涉及 Coinbase、Gate、WEEX、Bybit等多家交易所。
ip="5.254.129.71"

3

要点:IP 关联对快速扩展非常有效,但需注意 CDN/反向代理与共享主机场景导致的误判,结合证书 CN/SAN、网页特征与域名模式做交叉验证可降低误报。

基于HTTP标题做批量识别

       钓鱼攻击常呈现规模化与模板化:攻击者用可配置模板快速替换目标名称(如软件或登录站点),辅以社会工程话术,并批量注册域名解析到同一服务器。我们发现一个钓鱼站点后,可提取其 HTTP 标题中的特征字符串,在 ZoomEye 中搜索,以识别同批次的钓鱼站点。示例查询:某钓鱼站点标题为"Facebook 桌面版",而众所周知 Facebook 并无桌面版软件,因此该标题可作为钓鱼站点的特征。在 ZoomEye 中可用以下语句扩展搜索,以发现更多恶意钓鱼站点:
title="Facebook 桌面版"

4

5

要点:选择那些在合法生态中罕见或明显不合常理的标题(如“桌面版”与实际服务不符、包含拼写/语言混杂的句子等),能快速找到批量模板化产出的站点。

通过HTTP正文独特资源检索

       发现钓鱼站点时,不必局限于标题——还可以分析 HTTP 正文内容。钓鱼站点往往会复用静态资源(图标、图片、脚本文件名等),这些资源名通常不容易在其他非相关站点被无差别使用,因而是优秀的检索特征。示例查询:某钓鱼站点正文包含一个特定 ICON 图标名称,且该图标文件是网页所需资源。我们可将此 ICON 图标名称视为钓鱼站点特征,在 ZoomEye 中使用以下语句扩展搜索:
http.body="20190706125618443.png" 

6

要点:提取资源完整路径或文件名(含随机串或时间戳)作为检索条件,优先查找完全匹配以降低噪声。

基于ICON图标的反查

相比模板化钓鱼站,高价值目标(金融、邮箱、办公软件)的克隆钓鱼站仿真度更高,通常复用品牌icon与界面元素。通过 icon图标反查所有使用同一 icon 的页面,这对发现高仿克隆站尤其有效。示例流程(Binance交易所):

  1. 查询 Binance 交易所官方站点,获取其官方 icon(点击结果页图标可得 iconhash)


domain="binance.com"

7

  1. 在 ZoomEye 查询页点击该 icon,反查所有使用该 icon 的站点


iconhash="43365839589fc348172246e108c1297c"

8

  1. 在查询语句中排除官方站点域名与证书,聚焦疑似克隆钓鱼站


iconhash="43365839589fc348172246e108c1297c" && domain!="binance.com" && ssl!="binance.com"

9

要点:iconhash 检索对高仿站检出率高,但会漏掉仅使用其它资源或做深度伪造的不复用 icon 的页面;因此应与其它特征联合使用。

利用前端痕迹线索发现并扩展恶意站点

       在分析高价值目标的克隆钓鱼站时,发现一个有意思的攻击方法:前端 JS 不仅收集表单内容,还会通过 ipapi.co 之类的 IP 情报接口获取用户的 IP、国家/城市/邮编等信息,最终调用 Telegram Bot API 的 sendMessage 把数据发到指定的用户/群组/频道。

10

这类实现往往在页面源码或网络请求中暴露 bot token 与接收方的 chat_id。作为防御方,我们可以据此用 Telegram Bot API 的 getChat 查询该用户/群组/频道的基础信息;若基础信息中暴露了频道邀请链接,也可进入频道查看内容以辅助研判和溯源。
示例:https://api.telegram.org/bot{token}/getChat?chat_id={chat_id}

11

既然这些克隆钓鱼站用 Telegram Bot API 外送数据,我们就可把前端痕迹当作特征做横向枚举。在 ZoomEye 中检索同时包含 api.telegram.org、bot、sendMessage 的页面正文,通常能高效筛出可疑站点:
http.body="api.telegram.org" && http.body="bot" && http.body="sendMessage"

       该组合在正常业务页面中极少出现(因其含义是调用 Telegram 机器人发送消息),因而具备较强指示性。为进一步降噪,可叠加时间窗口(after=)或与 ipapi.co 等指纹联合使用。
12

基于 Telegram Bot 特征枚举到的一批克隆钓鱼站,进一步审查其 HTTP 标题,可以看到攻击覆盖多种诱饵类型:

  • 高价值品牌克隆


例如标题 “ВТБ - Ваш отзыв важен для нас!”(VTB - Your feedback is important to us!),仿造俄罗斯 VTB 银行的反馈页面,用于骗取账号或个人信息。

111

  • 文件下载诱导


例如标题 “File Shared Notification”,伪装“同事/业务共享文件”,引导下载安装恶意程序,手法直接粗暴。

222

  • 软件升级诱导


例如标题 “Update Chrome”,伪装浏览器/软件升级页面,实则投放恶意安装包。

333

要点:HTTP标题特征只是一个切入点,可以结合正文特征、证书/主机属性、域名模式与时间窗口交叉验证。

实战建议与去噪方法

  1. 组合特征优先:单一特征(如仅 title)易受噪声影响,推荐同时组合 title、http.body、iconhash 与 IP 查询并限定时间窗口(after=)以提高事件关联性。
  2. 排除规则:在查询中持续排除已知合法域与证书(domain!="..." && ssl!="..."),减少误报。
  3. 证书/托管信息交叉验证:使用证书的 CN/SAN、Whois、托管/ASN 信息判断基础设施是否为恶意惯犯或共享托管环境。
  4. 优先级打分:对命中结果建立评分机制(例如:同时命中 3 个指纹 = 高危;命中 1 个指纹且位于可疑 IP = 中危),以便集中人力处置高价值事件。
  5. 自动化和持续监控:把高信噪比的特征加入到自动化规则中,定期在 ZoomEye 上跑批量查询并把新命中写入告警系统或情报数据库。


结语

借助 ZoomEye 的多维检索能力,安全分析师可以把单点可疑线索提升为有组织、可量化的情报流。本文展示的基于标题、正文、资源、ICON、IP 与前端痕迹的链式发现方法,既可用于发现克隆钓鱼站,也适用于追踪恶意分发基础设施、C2 节点等。威胁狩猎应坚持两条原则:(1)优先识别可泛化的指纹特征;(2)交叉验证来降低误报。推荐将这些指纹特征结构化为 IOC 相似的检测规则,集成进监控/告警流水线,实现持续可量化的防御能力提升。

好消息,ZoomEye社区版(终身有效)会员限时回归!

为什么选择社区版

  • 永久功能:终身使用特色语法、API、AI搜索等核心功能
  • 海量积分:一次性赠送 100 万积分,立即到账,有效期 1 年
  • 超值价格:仅 999 元,享终身会员特权,省钱更省心


活动时间

11月10日10点起 (限时售卖,售完为止)

售卖价格

999元(一次付费,终身有效)

活动内容

1、注册过ZoomEye的用户,购买社区版(终身有效)即赠 100万 权益积分;新注册用户购买可获得 80万 权益积分!

2、使用「付费会员」邀请码购买社区版,邀请人与被邀请人均可额外各得 10万 权益积分!点击查看邀请码使用教程

3、加入 ZoomEye交流群,再领 2000权益积分,入群可享专属网络情报推送!

* 所有权益积分有效期均为 1 年

购买链接
https://www.zoomeye.org/pricing

4444

如有任何疑问,请添加ZoomEye助手

消息来源:ZoomEye Team

转载请注明出处并附上原文