国外的FireEye实验室有一套主动化体系，这套体系可以主动侦测最新注册的歹意域名。所谓的歹意域名，绝大部分都是假装成很多人知道的常用域名，以此来到达“歹意”的目的。比方说假装成苹果公司的域名——FireEye的这套体系最近就检测到了本年一季度注册的不少此类垂钓域名。
这类域名的特征便是拿手假装，跟合法域名“长得”很像。FireEye报导称，这些“伪苹果”域名针对的主要是我国和英国的苹果iCloud用户。虽然FireEye从前从前追寻过不少相似的域名，但这次的状况比较共同：这些站点的歹意垂钓内容是相同的，并且手法比较杂乱，乃至可以躲避垂钓检测体系。

 
众所周知，苹果用户都有个Apple ID。Apple ID可以说是苹果全套服务的中心账户了，贯穿于iCloud、iTunes Store、App Store等等服务。其间iCloud是苹果的云服务，实时确保用户苹果设备上的文档、相片、联系人等材料同步；此外iCloud也供给与朋友共享相片、日历、地理位置等的接口；它也能用来找回丢掉的iOS设备。
或许对很多人而言，iCloud更重要的作用是iCloud Keychain（密钥链）功用。这项功用用于存储用户的暗码、信用卡信息，这样一来用户在iOS和Mac设备上操作时，iCloud就能协助用户主动填写这些信息了。有了Apple ID、暗码，还有其他一些信息（比方生日、设备解锁码），对设备就有比较完好的操作权限，乃至可以运用信用卡信息在Apple Store购物。
而下面这些针对苹果用户的垂钓进犯，便是高度组织化，并且比较杂乱的垂钓进犯，一部分针对我国人，一部分针对英国人。
针对我国苹果用户的Zycode垂钓进犯
下面这张列表便是FireEye Labs在本年3月份检测到的、针对苹果用户的垂钓域名。当然这些域名必定都不是苹果注册的，天然也不会指向苹果的产品：

 
显着，黑客是想仿照和iTunes、iCloud和Apple ID相关的网站，便是要招引用户输入他们的Apple ID。拜访这些域名，绝大部分都出现Apple ID、iTunes和iCloud的登录界面；网页还布置了非常杂乱、可疑的JavaScript代码。听说关于剖析表单和依靠HTML内容的反垂钓体系而言，这些网站可以很大程度令其失效。
从调查到的成果来看，这些域名显着都是在我国注册的，并且注册用的仍是QQ邮箱。
垂钓内容剖析
一般咱们经过简略检查HTML代码，大致就能明晰垂钓内容，理论上这些代码应该是一部分图片用来仿照苹果品牌，别的还有一些搜集用户凭据的表单。一般来说，如果是这样的话，垂钓检测体系就可以在HTML页面内容中发现问题，但在此处却失效了。
初看起来，这儿仅仅向页面建议简略的GET恳求，呼应内容却是编码过的JavaScript代码。这么一来，除非是在浏览器或JS模拟器中真的去履行，不然还真是看不出其实在目的。下面便是从代码中获取到的编码字符串的一部分。

 
编码后的字符串StrHTML，需求经过一系列杂乱的23种解密函数，包含数制转化（number system conversions）、伪随机规矩表达式的修饰符（pseudo-random pattern modifiers）等，然后还要加上采用了固定密钥“zycode”的XOR解码，最终才得到了真实的HTML垂钓内容（拜见附录1）。所以说，仅依靠于呼应部分HTML的垂钓检测体系，在此显着是底子无法发挥作用的。

 
一旦这些代码真实在浏览器中加载，混杂后的JavaScript也就构建起了iCloud垂钓页面，如上图所示。

 
这便是复原混杂后（de-obfuscated）的内容。

 
然后用Burp Suite东西来调查，上图展现的便是用户供给的登录和暗码信息提交到HTML表单。此处可以看到，以HTTP POST方法，5个变量（u,p,x,y和cc）和1个cookie被发往save.php页面。

 
用户输入登录信息后，页面会被重定向到上面显现的“苹果”页面。有意思的是，这个页面的一切链接却是指向正确的苹果官网域名的，这些无关紧要。该页面还仅支撑中文（交心服务），“验证您的出生日期或设备屏幕锁以持续”。

 
若进入下一步，用户被带到ask3.asp页面。这个页面会问询你更多账户细节。

[1] [2] [3]  黑客接单网