公共云中的网络钓鱼

Netskope Threat Protection最近在Google云端硬盘中发现了一个有趣的PDF。该PDF附件被伪装成丹佛的一家律师事务所的文件。PDF链接到Azure blob存储中托管的Office 365网络钓鱼页面。由于网络钓鱼诱饵托管在Azure blob存储中,因此它具有Microsoft的域名和SSL证书。Microsoft域名,证书和内容的组合使这个诱饵特别有说服力,人们很难将其识别为网络钓鱼。在这篇文章中,我们详细分析了PDF诱饵和网络钓鱼站点。还总结了一些建议,以帮助保护您和您的组织免受类似网络钓鱼活动的攻击。

传统上,PDF诱饵以电子邮件附件的形式发送给受害者。它们精心制作,内容合法,来源合法。一般情况下,附件会保存到云端存储服务器上,例如Google云端硬盘。与其他用户共享这些文档可能会出现像CloudPhishing扇出效应这样的辅助传播媒介。这次,该文档最初是通过电子邮件发送的,并已保存到Google云端硬盘,研究人员就是在这里检测到该文件并防止潜在的凭据丢失或扇出。

PDF诱饵分析

在这次攻击中,一些不法分子发送带有PDF附件的垃圾邮件,这些附件被伪装成丹佛的一家律师事务所的文件,文件名显示“扫描文件…,请审查”,还附上了下载按钮(如图1所示)。

公共云中的网络钓鱼

图1:PDF上的内容

单击“下载PDF”超链接后,将向受害者显示该文档正在尝试连接到Azure blob存储https://onedriveunbound80343[.]blob.core.windows.net的消息,如图2所示。

公共云中的网络钓鱼

图2:连接到https://onedriveunbound80343[.]blob.core.windows.net的PDF

单击超链接后呈现给受害者的网络钓鱼网页如图3所示。

公共云中的网络钓鱼

图3:受害者看到的网络钓鱼页面

此网络钓鱼网页托管在Azure blob存储中。因此,它具有Microsoft发布的有效SSL证书,并托管在Microsoft拥有的域上,如图4所示。

公共云中的网络钓鱼

图4:Azure blob存储中托管的网络钓鱼网页

尽管这是一个假登录页面,但该站点使用了Microsoft SSL证书进行安全保护,许多人可能会因此相信这是一个合法的登录表单。一旦用户输入信息,表单就会将内容提交给攻击者操控的服务器。点击“继续”后,受害者的凭据将上传到https://searchurl[.]bid/livelogins2017/finish40.php,如图5所示。

公共云中的网络钓鱼

图5:上传到https://searchurl[.]bid/livelogins2017/finish4.php的受害者凭据

通过这个网站,受害者会被定向到blob存储中托管的另一个网络钓鱼页面https://onedriveunbound80343[.]blob.core.windows.net/exceltyrantship68694/excel-login-2.html

公共云中的网络钓鱼

图6:重新定向到另一个网络钓鱼页面

网络钓鱼页面显示电子邮件或密码无效。会出现此消息不是因为验证凭据,而是由于硬编码,如图7所示。

公共云中的网络钓鱼

图7:网络钓鱼页面显示电子邮件或密码无效

再次输入详细信息后,受害者的凭据将再次发送到https://searchurl[.]bid/livelogins2017/finish4.php,如图8 所示。

公共云中的网络钓鱼

图8:上传到https://searchurl[.]bid/livelogins2017/finish4.php的受害者凭据

然后向受害者显示几个重新登录页面,以下载安全文档,如图9所示。

公共云中的网络钓鱼

图9:输入凭据后显示的一系列页面

显示所有这些页面后,受害者最后会重新回到Microsoft页面,https://products.office.com/en-us/sharepoint/collaboration,但没有文档下载到受害者的计算机。由于没有下载文档,受害者可能会再次尝试重新验证凭据或输入与其他帐户相关的凭据。

类似网络钓鱼

该PDF中包含了CreatorTool,Creator和Producer等元数据,如图10所示,可以用它来识别类似攻击。

公共云中的网络钓鱼

图10:PDF中包含的元数据

我们发现了另外两个包含相同元数据的PDF诱饵。其中包括托管在blob存储上的另一个网络钓鱼页面的链接,https:// onedriveassumably232 [.] blob.core.windows.net/excelcamerae27508588/excel-login-1.html。这两个PDF声称是位于俄勒冈州的牙科设备制造商,如图11所示。

公共云中的网络钓鱼

图11:链接到https://onedriveassumably232[.]blob.core.windows.net的PDF

与前一个PDF类似,凭据通过不同的URL路径发送到同一个域,即https://searchurl[.]bid/livelogins2017/finish35.php。该网站由Vesta提供支持,Vesta是一个开源托管控制面板。Virustotal被动DNS还显示IP已解析为域,如图12所示。

公共云中的网络钓鱼

图12:VirusTotal中由212.83.167[.]116解析的域

根据托管在searchurl[.]bid上的URL和已解析的IP,有证据表明此操作自2018年8月以来一直在进行。被动DNS结果还包含黑客使用的域和URL路径的多次迭代和组合。但没有任何证据可以证明网络钓鱼活动是故意针对他们冒充的公司。相反,我们发现的唯一链接是美国的一家小公司的链接。这种攻击似乎广泛针对美国的O365用户。

除了使用Azure blob存储之外,此次网络钓鱼活动与过去发现的其他钓鱼活动区别在于其SSL使用情况。此网络钓鱼活动中包含的每个资源(包括Azure中的诱饵以及用于实际收集凭据的PHP脚本)都是通过HTTPS提供的。searchurl[.]bid域具有LetsEncrypt颁发的有效SSL证书。我们看到的大多数钓鱼活动都没有如此普遍地使用SSL证书。使用有效的SSL证书是威胁行为者用来制作更有说服力的诱饵的手段。显而易见的是,攻击者必须提高其活动的真实性才能达到预定目标。

结论

我们发现了一种使用主题PDF诱饵和Azure blob存储来窃取Office 365凭据的网络钓鱼攻击。值得注意的是,此网络钓鱼活动旨在欺骗那些稍微懂得一点技术皮毛的的用户。当他们检查网站的域名和SSL证书是否与其内容相匹配的时候,托管在Microsoft域上,附带有效Microsoft证书的 Office 365登录页面就成为了网络钓鱼的诱饵了。如果用户能够识别这是一个基于子域的网络钓鱼网站,这表明了它位于Azure blob存储中,而不是Microsoft的官方网站。

企业需要给员工进行培训,以便他们能够识别AWS、Azure和GCP对象存储链接,这样他们就可以简单的区分钓鱼网站和官方网站。

Netskope也可以防止此类网络钓鱼活动在用户的云环境中传播,Netskope已将Azure blob存储中托管的网络钓鱼网站报告给Microsoft的安全响应中心。我们会继续密切监控这些使用云存储服务、平台即服务(PaaS)和基础架构即服务(IaaS)的PDF诱饵的发展,并及时分享最新的发现。

建议

Netskope为用户提供以下建议来打击基于云的网络钓鱼活动:

随时检查任何链接的域名,登陆敏感服务时常用的域名更应如此。此外,需要具备识别常见对象存储域名(如Azure blob存储常用的域名)的能力。掌握这些将有助于用户区分那些精心设计的钓鱼网站和官方网站。

部署一项实时可见、可控的解决方案,以此监视一切批准的/未批准的云账户活动。

针对IaaS、SaaS、PaaS和网络进行全面的威胁、恶意软件检测,并进行实时、多层次的威胁检测和修补,以防类似威胁在公司、企业内外进行传播。在责任共担模式下,每一名用户都需要负责保护应用程序中的数据并防止恶意软件的传播。

使用最新的版本、补丁更新系统和防病毒软件。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/tech/116114.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code