你有沒有在輸入域名時把字母輸錯但是出現(xiàn)了你想要看到的網(wǎng)頁？像appple.com、taobaoo.com這樣的網(wǎng)頁如果模仿了原網(wǎng)頁，可以成為釣魚網(wǎng)站。那么如果把腳本代碼包起了一樣差不多的名字感染進開發(fā)者的電腦里呢？想想就不寒而栗。大約10年前，有種名為Typosquatting的古老攻擊手法——國內(nèi)有將之翻譯成“誤植域名”的。這個詞的前半部分“Typo”意思是排版錯誤，其實已經(jīng)表達了這種攻擊手法的內(nèi)涵。

最近來自德國漢堡大學的學生，利用Typosquatting攻擊，將他自己的代碼感染到了超過17000臺開發(fā)者的計算機中。注意哦，是開發(fā)者的計算機！而且里面很多人還是為美國政府，甚至軍方組織工作的。

究竟是怎么感染的？

這名漢堡大學的學生現(xiàn)年25歲，名叫Nikolai Philipp Tschacher。他在自己的學士論文里大致闡述了這種攻擊手法，論文名為《Typosquatting in Programming Language Package Managers》，有興趣的同學可以去搜一下。

整個過程其實很簡單：他首先去瀏覽一些專門探討編程語言的社區(qū)網(wǎng)站（如PyPI、RubyGems、NPM），記錄了其中下載量較高的214個包。然后他自己偽造了這214個包，里面包含他自己的腳本代碼（雖然并非惡意的），名字與這214個包非常相似。

雖然不是域名，不過他也將之稱作Typosquatting攻擊。實際上里面的確沒有包含什么惡意代碼，只是給那些下載的開發(fā)者以警示：您安錯包啦！另外，這段代碼還會向Tschacher的計算機發(fā)送一個Web請求，這樣他就能夠記錄他的代碼執(zhí)行了多少次，是否獲取到管理員權(quán)限。

攻擊結(jié)果很“理想”

最終的結(jié)果是很“喜人”的，幾個月時間內(nèi)，他的代碼就在超過17000個獨立域名中執(zhí)行了超過45000次，其中超過一半還獲得了管理員權(quán)限。意外發(fā)現(xiàn)是，其中有兩個域名后綴為.mil，表明這是美軍有人也運行了這段腳本。Tschacher在論文中說：

“另外還有23個域名以.gov結(jié)尾，是美國政府機構(gòu)的域名。這個數(shù)字是值得人們關注的，因為拿下美國研究工作室和政府機構(gòu)的主機，會帶來災難性的后果。”

這件事比較有趣的地方在于，Tschacher攻擊目標并非普通終端用戶，而是開發(fā)者。如果Tschacher真的有意進行攻擊，并植入了惡意代碼，那么打擊面和傳播速度都并非一般的釣魚網(wǎng)站可比。但凡從開發(fā)者入手的攻擊，總是能夠在短期內(nèi)極速傳播，因為如果開發(fā)過程都在神不知鬼不覺的情況下被植入惡意代碼，那么終端用戶遭遇攻擊也就顯得理所應當。

很多時候，將政府和企業(yè)作為目標的的攻擊者，都很喜歡從開發(fā)者下手。因為開發(fā)者對敏感網(wǎng)絡擁有很高的訪問權(quán)限，能做的事自然就多多了。

延伸閱讀：有關Bitsquatting

是不是感覺這群被感染的開發(fā)者很弱智？然而實際上，Typosquatting也有比較高級的應用。最后這部分作為簡單的延伸：早在2011年的時候，安全研究人員Artem Dinaburg曾經(jīng)介紹過一種名為Bitsquatting的攻擊，基本理念就是取自于Typosquatting，但它并不依賴于用戶輸錯域名，而是利用計算機的隨機單比特錯誤。

其實所謂的比特錯誤是發(fā)生在硬件產(chǎn)品上的，比如內(nèi)存、CPU緩存因為環(huán)境或者灰塵、輻射之類的，會莫名產(chǎn)生比特錯誤（如著名的UltraSparc II CPU就存在這種問題）。比如我們要訪問一家網(wǎng)站，域名是n.com。其二進制表達方式是這樣的：

如果內(nèi)存模塊發(fā)生比特錯誤，某一位比特發(fā)生錯誤，就會變成下面這樣。你在訪問n.com這個域名的時候，二進制數(shù)據(jù)是需要過一次內(nèi)存的，但最終我們訪問到的實際上是o.com，這個過程真正實現(xiàn)了神不知鬼不覺。如果有人注冊一個o.com域名，用于模仿n.com網(wǎng)站，則釣魚成功率幾乎可以達到100%。

這聽起來似乎很懸，前兩年國外有安全專家特別做了針對Bitsquatting的實驗（首先選擇一些可能產(chǎn)生一比特之差的域名注冊，比如說micrgsoft.com，然后主要從DNS來入手這個實驗），結(jié)果每天都存在Bitsquatting后的域名請求，的確非常神奇。

最新評論