资产测绘哪家强？ZoomEye 带你飞

999元社区版(终身有效)限时售卖中！

参与文末抽奖，送终身会员！！！

摘要

在网络威胁高度工业化的今天，攻击者通过模板化工具与自动化流程大规模构建克隆钓鱼站，重点瞄准金融、社交与企业邮箱等高价值目标。

本文基于实战案例，介绍如何利用知道创宇 ZoomEye 的多维检索能力——结合 HTTP 标题、HTTP 正文、ICON、IP 解析与前端痕迹（如 Telegram Bot），把零散痕迹转化为可操作情报与持久检测特征规则，实现对恶意站点的高效发现与扩展，为威胁分析师提供可复用的实战思路。

概述

威胁狩猎的核心不是发现单个页面，而是识别能够泛化的指纹特征，并据此做横向扩展。本文的方法论可概括为三步：

初次发现：从单个可疑页面中提取高信噪比特征（标题、正文中特殊字符串、iconhash、证书信息、前端API调用等）。
横向扩展：基于初次发现结果，在 ZoomEye 中进行精确检索（按 IP、iconhash、http.body、title 等），识别同一批次或同一基础设施下的其他恶意资产。
交叉验证：结合证书、域名注册信息、时间窗口与托管/解析习惯，对命中结果去噪并标注处置优先级。

以下各节分别以实例说明每种特征的提取与检索策略，并给出实用查询示例。

通过HTTP正文特征发现克隆钓鱼站

攻击者经常在钓鱼页面中复制目标站点的部分文字或版权信息，这些字符串在合法站点以外出现时，具备很强的指示性。

示例流程（Coinbase交易所）：

访问 Coinbase交易所官方站点，在官方站点读取独有字符串（例如版权语句）："© 2025 Coinbase"

在 ZoomEye 中查询包含该字符串的站点，并排除官方域名与证书，从而聚焦疑似克隆钓鱼站

http.body="2025 coinbase" && domain!="coinbase.com" && ssl!="coinbase.com"

要点：选择不太可能被第三方正常复用的长字符串或格式（如版权行、资源文件名、带时间戳的路径），能显著提高命中率和精确度。

解析IP并做横向追查

攻击者常把多个恶意域名解析到同一台服务器（同一 IP），既降成本，又能在域名被封时快速切换。我们发现一个恶意站点后，解析其域名获得 IP，在 ZoomEye 中查询该 IP 的相关网络资产，通常能横向枚举出更多相关恶意域名与页面。

示例查询：针对前文提及Coinbase交易所仿冒站点的解析IP地址 5.254.129.71 进行查询，可命中 29 条与交易所高仿克隆相关的恶意站点，涉及 Coinbase、Gate、WEEX、Bybit等多家交易所。

ip="5.254.129.71"

要点：IP 关联对快速扩展非常有效，但需注意 CDN/反向代理与共享主机场景导致的误判，结合证书 CN/SAN、网页特征与域名模式做交叉验证可降低误报。

基于HTTP标题做批量识别

钓鱼攻击常呈现规模化与模板化：攻击者用可配置模板快速替换目标名称（如软件或登录站点），辅以社会工程话术，并批量注册域名解析到同一服务器。

我们发现一个钓鱼站点后，可提取其 HTTP 标题中的特征字符串，在 ZoomEye 中搜索，以识别同批次的钓鱼站点。

示例查询：某钓鱼站点标题为"Facebook 桌面版"，而众所周知 Facebook 并无桌面版软件，因此该标题可作为钓鱼站点的特征。在 ZoomEye 中可用以下语句扩展搜索，以发现更多恶意钓鱼站点：

title="Facebook 桌面版"

要点：选择那些在合法生态中罕见或明显不合常理的标题（如“桌面版”与实际服务不符、包含拼写/语言混杂的句子等），能快速找到批量模板化产出的站点。

通过HTTP正文独特资源检索

发现钓鱼站点时，不必局限于标题——还可以分析 HTTP 正文内容。钓鱼站点往往会复用静态资源（图标、图片、脚本文件名等），这些资源名通常不容易在其他非相关站点被无差别使用，因而是优秀的检索特征。

示例查询：某钓鱼站点正文包含一个特定 ICON 图标名称，且该图标文件是网页所需资源。我们可将此 ICON 图标名称视为钓鱼站点特征，在 ZoomEye 中使用以下语句扩展搜索：

http.body="20190706125618443.png"

要点：提取资源完整路径或文件名（含随机串或时间戳）作为检索条件，优先查找完全匹配以降低噪声。

基于ICON图标的反查

相比模板化钓鱼站，高价值目标（金融、邮箱、办公软件）的克隆钓鱼站仿真度更高，通常复用品牌icon与界面元素。通过 icon图标反查所有使用同一 icon 的页面，这对发现高仿克隆站尤其有效。

示例流程（Binance交易所）：

查询 Binance 交易所官方站点，获取其官方 icon（点击结果页图标可得 iconhash）

domain="binance.com"

在 ZoomEye 查询页点击该 icon，反查所有使用该 icon 的站点

iconhash="43365839589fc348172246e108c1297c"

在查询语句中排除官方站点域名与证书，聚焦疑似克隆钓鱼站

iconhash="43365839589fc348172246e108c1297c" && domain!="binance.com" && ssl!="binance.com"

要点：iconhash 检索对高仿站检出率高，但会漏掉仅使用其它资源或做深度伪造的不复用 icon 的页面；因此应与其它特征联合使用。

利用前端痕迹线索发现并扩展恶意站点

在分析高价值目标的克隆钓鱼站时，发现一个有意思的攻击方法：前端 JS 不仅收集表单内容，还会通过 ipapi.co 之类的 IP 情报接口获取用户的 IP、国家/城市/邮编等信息，最终调用 Telegram Bot API 的 sendMessage 把数据发到指定的用户/群组/频道。

这类实现往往在页面源码或网络请求中暴露 bot token 与接收方的 chat_id。作为防御方，我们可以据此用 Telegram Bot API 的 getChat 查询该用户/群组/频道的基础信息；若基础信息中暴露了频道邀请链接，也可进入频道查看内容以辅助研判和溯源。

示例：https://api.telegram.org/bot{token}/getChat?chat_id={chat_id}

既然这些克隆钓鱼站用 Telegram Bot API 外送数据，我们就可把前端痕迹当作特征做横向枚举。在 ZoomEye 中检索同时包含 api.telegram.org、bot、sendMessage 的页面正文，通常能高效筛出可疑站点：

http.body="api.telegram.org" && http.body="bot" && http.body="sendMessage"

该组合在正常业务页面中极少出现（因其含义是调用 Telegram 机器人发送消息），因而具备较强指示性。为进一步降噪，可叠加时间窗口（after=）或与 ipapi.co 等指纹联合使用。

基于 Telegram Bot 特征枚举到的一批克隆钓鱼站，进一步审查其 HTTP 标题，可以看到攻击覆盖多种诱饵类型：

高价值品牌克隆

例如标题 “ВТБ - Ваш отзыв важен для нас!”（VTB - Your feedback is important to us!），仿造俄罗斯 VTB 银行的反馈页面，用于骗取账号或个人信息。

文件下载诱导

例如标题 “File Shared Notification”，伪装“同事/业务共享文件”，引导下载安装恶意程序，手法直接粗暴。

软件升级诱导

例如标题 “Update Chrome”，伪装浏览器/软件升级页面，实则投放恶意安装包。

要点：HTTP标题特征只是一个切入点，可以结合正文特征、证书/主机属性、域名模式与时间窗口交叉验证。

实战建议与去噪方法

组合特征优先：单一特征（如仅 title）易受噪声影响，推荐同时组合 title、http.body、iconhash 与 IP 查询并限定时间窗口（after=）以提高事件关联性。
排除规则：在查询中持续排除已知合法域与证书（domain!="..." && ssl!="..."），减少误报。
证书/托管信息交叉验证：使用证书的 CN/SAN、Whois、托管/ASN 信息判断基础设施是否为恶意惯犯或共享托管环境。
优先级打分：对命中结果建立评分机制（例如：同时命中 3 个指纹 = 高危；命中 1 个指纹且位于可疑 IP = 中危），以便集中人力处置高价值事件。
自动化和持续监控：把高信噪比的特征加入到自动化规则中，定期在 ZoomEye 上跑批量查询并把新命中写入告警系统或情报数据库。