黑客在利用谷歌Firebase對(duì)微軟Office365進(jìn)行攻擊
研究人員表示,最近一個(gè)目的在于竊取微軟登錄憑證的網(wǎng)絡(luò)釣魚活動(dòng)正在使用谷歌Firebase繞過微軟Office 365的電子郵件安全措施來實(shí)施攻擊。
Armorblox的研究人員發(fā)現(xiàn),至少已經(jīng)有2萬個(gè)郵箱收到了惡意攻擊郵件,這些郵件內(nèi)容主要是分享電子資金轉(zhuǎn)移(EFT)支付的信息。這些釣魚郵件的主題欄寫的非常簡(jiǎn)短,只有"TRANSFER OF PAYMENT NOTICE FOR INVOICE"的字樣,還含有一個(gè)從云端下載 "發(fā)票 "的鏈接。
點(diǎn)擊該鏈接瀏覽器就開始了一系列的重定向操作,最終將用戶引導(dǎo)到了一個(gè)帶有微軟Office logo的頁面,研究人員發(fā)現(xiàn)該頁面托管在谷歌的Firebase上。那個(gè)頁面是一個(gè)釣魚頁面,這樣可以很容易的獲取微軟用戶的登錄密碼、二級(jí)郵箱地址和電話號(hào)碼等重要的個(gè)人信息。
攻擊者可以利用這些信息來接管賬戶并竊取個(gè)人信息,同時(shí)他們也可能會(huì)利用這些信息進(jìn)行其他方面的攻擊。
據(jù)Armorblox 說:"由于所有工作賬戶都是緊密聯(lián)系的,賬戶的憑證被竊取是非常危險(xiǎn)的,因?yàn)榫W(wǎng)絡(luò)犯罪分子會(huì)以你的名義發(fā)送電子郵件來欺騙你的客戶,合作伙伴和家庭成員"。
對(duì)微軟Office 365的攻擊流程
郵件中的鏈接會(huì)讓用戶下載一個(gè)名為 "付款通知-PDF "的文件。它會(huì)將用戶引導(dǎo)到一個(gè)登陸頁面,研究人員表示,該頁面的右上方有一個(gè) "下載 "按鈕。當(dāng)鼠標(biāo)懸停在鏈接上時(shí),頁面顯示該文件托管在谷歌的Firebase上。Firebase是一個(gè)用于定制Web和移動(dòng)應(yīng)用程序的開發(fā)環(huán)境。
Armorblox研究員Rajat Upadhyaya周四在博客中解釋道:"下載的'發(fā)票'的文件名中可能有PDF,但它實(shí)際上是一個(gè)HTML文件,打開這個(gè)HTML文件會(huì)加載一個(gè)帶有Office 365 logo的iframe。該頁面會(huì)顯示一個(gè)縮略圖和一個(gè)查看發(fā)票的鏈接。"
點(diǎn)擊縮略圖或 "查看文件 "鏈接會(huì)進(jìn)入到最后的釣魚頁面中,頁面要求受害者用他們的微軟憑證進(jìn)行登錄,并要求他們提供備用的電子郵件地址或電話號(hào)碼。這是犯罪分子在嘗試收集更多的數(shù)據(jù),這樣可以繞過雙因素認(rèn)證(2FA)或賬戶恢復(fù)機(jī)制。
在輸入了賬號(hào)信息之后,登錄頁面會(huì)重新加載一個(gè)錯(cuò)誤信息,要求用戶輸入正確的賬號(hào)信息。
Upadhyaya說:"這可能是網(wǎng)站存在一些后端驗(yàn)證機(jī)制,會(huì)檢查輸入的信息的真實(shí)性。另一種情況是,攻擊者可能在嘗試用這種方式來獲得盡可能多的電子郵件地址和密碼,無論輸入的正確與否,都會(huì)一直出現(xiàn)錯(cuò)誤信息。"
繞過本地電子郵件安全策略
此次攻擊活動(dòng)最大的特點(diǎn)是采用了大量的技術(shù)手段避開了電子郵件安全防御系統(tǒng)。
研究人員指出:"這種電子郵件攻擊繞過了原生的微軟電子郵件安全控制系統(tǒng),微軟給這封郵件分配的垃圾郵件可信度(SCL)為'1',這意味著微軟沒有將這封郵件判定為可疑郵件,反而將其投遞到了終端用戶郵箱中。"
首先,頁面的重定向的流程很復(fù)雜,這有助于郵件逃過系統(tǒng)的安全檢測(cè),Upadhyaya指出,這種方式是繞過頁面安全防御系統(tǒng)的常見策略。
他說:"點(diǎn)擊郵件鏈接后會(huì)經(jīng)過一個(gè)重定向,并跳轉(zhuǎn)到了一個(gè)父域名為'mystuff.bublup.com'的頁面上。’’
有趣的是,由于Firebase是一個(gè)可信的域名,將HTML釣魚頁面托管在谷歌的Firebase上,電子郵件就可以通過包括Exchange在線保護(hù)(EOP)和Office 365的Microsoft Defender 在內(nèi)的windows內(nèi)置的微軟安全過濾器。
研究人員說:"托管在‘Firebase’這樣有名的平臺(tái)上的web網(wǎng)站會(huì)欺騙受害者,也很容易繞過電子郵件安全檢查技術(shù),讓受害者以為點(diǎn)擊鏈接就能找到縮略圖中顯示的發(fā)票。"
Firebase在之前的攻擊中已經(jīng)被利用過很多次了。例如,去年發(fā)生了一系列的使用谷歌Firebase托管釣魚網(wǎng)站進(jìn)行攻擊的活動(dòng),這表明網(wǎng)絡(luò)犯罪分子在利用谷歌云基礎(chǔ)設(shè)施的信任度來欺騙受害者,并利用合法的電子郵件網(wǎng)關(guān)繞過系統(tǒng)的安全監(jiān)察。
最后,這些郵件還繞過了大規(guī)模電子郵件系統(tǒng)的認(rèn)證系統(tǒng)和反欺騙系統(tǒng)。
Upadhyaya說:"這封郵件是SendGrid從個(gè)人Gmail賬戶發(fā)出的,這使得電子郵件成功地通過了SPF、DKIM和DMARC等認(rèn)證檢查。"
DMARC(Domain-based Message Authentication,Reporting & Conformance)被認(rèn)為是電子郵件認(rèn)證行業(yè)的標(biāo)準(zhǔn),用以防止攻擊者用偽造的地址發(fā)送電子郵件。它會(huì)在郵件到達(dá)預(yù)定的目標(biāo)地點(diǎn)之前驗(yàn)證發(fā)件人的身份,并驗(yàn)證發(fā)件人的域是否被冒充。
如何防止電子郵件威脅
Armorblox表示,為了更好地保護(hù)員工免受釣魚電子郵件的攻擊,公司應(yīng)該對(duì)員工進(jìn)行培訓(xùn),讓他們檢查與金錢和數(shù)據(jù)有關(guān)的電子郵件,包括檢查郵件發(fā)件人姓名、發(fā)件人電子郵件地址、電子郵件的內(nèi)容以及電子郵件內(nèi)的任何邏輯不一致的地方(例如,一個(gè)所謂的PDF文件有一個(gè)HTML擴(kuò)展名)。
其他防御措施包括實(shí)施2FA方式和實(shí)施密碼管理方案。
本文翻譯自:https://threatpost.com/microsoft-office-365-attacks-google-firebase/163666/如若轉(zhuǎn)載,請(qǐng)注明原文地址。
