- PVSM.RU - https://www.pvsm.ru -
«… ты приходишь и просишь что-то у меня, но ты просишь без уважения …»
Вито Корлеоне
Фишинг все еще самый популярный и самый успешный тип хакерских атак. Все просто, атакуются не софт, не сервера, не сети, а самые уязвимые компоненты информационных систем – пользователи. Я часто встречаюсь с фишингом, как единичными, направленным на личные адреса, так и массовыми атаками. В большинстве случаев это неумело составленные письма и коряво сварганенные фишинг страницы. До недавнего времени большинство таких атак срывалось уже на уровне пользователей: письма или сразу игнорировались (так как признаки фишинга были очень явными) или, в худшем случае, письма перенаправлялись в службу поддержки с вопросом «безопасно ли вводить пароль на этой странице?». Конечно, какая-то часть пользователей все-таки попадалась, но в процентном соотношении это был реально минимум. Но буквально на прошлой неделе я столкнулся с фишинг атакой, уровень которой меня удивил. Я провел небольшой анализ, и выяснил как именно она была организована и какие инструменты были при этом использованы.
Надеюсь, это не будет выглядеть как инструкции для подготовки фишинг атак, на самом деле, цель статьи – рассказать о конкретном случае из практики. Я также поделюсь результатами небольшого анализа действий злоумышленников.
Последовательность соблюдать не буду (как уже говорилось, это не руководство к действию), и начну с того, что меня удивило больше всего, а именно поддельная страница, куда направлялись жертвы атаки. Страница была точной копией ADFS страницы жертвы. Кроме визуальной схожести, страница была на домене того же уровня и URL отличалась только одной буквой: реальный адрес ADFS портала был
https://login.contoso.ch/
, адрес фишинг страницы —
https://login.contoso.cf/
(здесь и далее — название фирмы заменено на contoso). И да, протокол совпадал, фишинговая страница использовала SSL с полноценным сертификатом от COMODO!.. Конечно, без Extended Validation, но тем не менее, Chrome отображал адрес «зелененьким».
Как же так? Совсем глупые «хакеры»! Домены второго уровня и сертификаты COMODO кому попало не дают, их будет легко вычислить! Но это на первый взгляд…
Google подсказал, что .cf домены раздают бесплатно. В данном случае важна не цена, а возможность приобрести домен, не оставляя следов в виде кредитной карты (или другого способа оплаты). То есть, обычного (левого) адреса электронной почты более чем достаточно. Один из регистраторов, Freenom, помимо cf, предлагает еще и tk, ml, ga. Единственное неудобство, при регистрации не получается указать некоторые адреса бесплатной электронной почты (mail.ru, yandex.ru, yahoo.com) но с большинством других адресов зарегистрировать домен удается.
Какой почтой пользовался наш фишер для регистрации домена мы узнать не смогли, так как whois server выдал такое сообщение: «Due to restrictions in [] Privacy Statement personal information about the user of the domain name cannot be released». Однако, можно предположить, что protonmail, так как сами фишинг сообщения отправлялись с помощью этого сервиса. Это не удивительно, так как на protonmail можно зарегистрироваться абсолютно анонимно, и, даже если привлечь соответствующие органы для расследования, заставить protonmail сотрудничать, как показывает практика [1], будет не так-то просто.
До этого случая мы наивно полагали что поднять web сервер с валидным ssl сертификатом от COMODO, не оставив никаких следов, невозможно. Как оказалось, это не так. В нашем случае атакующие воспользовались Cloudflare. Небольшой анализ предлагаемых функций бесплатного пакета от Cloudflare выявил кладезь возможностей для фишинга:
— Полностью анонимная регистрация. Адреса почты (от того же protonmail) более чем достаточно. Теоретически, они могут выяснить с какого IP адреса была регистрация/вход, но я более чем уверен, что наши злоумышленники с легкостью могли скрыть реальный адрес.
— Бесплатный сертификат от COMODO. Он не только бесплатный, но и выдается за несколько минут без какой-либо дополнительной проверки.
— Скрытие реального IP адреса веб-сервера. Весь трафик идет через Cloudflare (это в первую очередь CDN-сервис)
— SSL offloading. Реальный веб сервер может работать и по незащищенному http, с применением Cloudflare весь трафик пойдет через SSL. Это важно потому что, бесплатный
И еще один факт: за редкими исключениями, CA сервисы на домены ga, cf, tk сертификаты не подписывают. В этом случае (даже если вы не фишер) Cloudflare проблему решает, через них сертификат выдается без проблем.
Теперь самое интересное. В фишинг письме, которое само по себе представляло шедевр социальной инженерии, естественно, была ссылка, но не на фишинг страницу. Ссылка была на сайт компании, на страницу с уязвимостью типа Unvalidated Redirects. Это, возможно, было одной из причин того что письмо прошло все анти-спам фильтры, в письме на адрес user@contoso.ch была единственная ссылка на
http://contoso.ch/vulnerable.php?url=https://login.contoso.cf/
Без сомнения, сами мы их найти не сможем. Смогут ли их найти «органы»? Можно попробовать запросить данные у регистратора или у Cloudflare и выйти на тот же protonmail. Если они и пойдут на сотрудничество, максимум что можно получить – это IP адрес. Можно ли по IP адресу «вычислить» преступника? Я в этом сомневаюсь.
Мы не знаем какое количество пользователей «купилось» — сами признаваться не будут. На всякий случай, мы посоветовали всем поменять пароли AD. Самой компании было настоятельно рекомендовано включить двухфакторную авторизацию на ADFS c помощью Custom Authentication. [3]
P.S. И еще, я не уверен, что я бы сам не повелся на это – уровень меня впечатлил.
Автор: EminH
Источник [4]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/security/164080
Ссылки в тексте:
[1] практика: http://www.business-standard.com/article/companies/why-cyber-probe-into-the-interview-might-get-nowhere-116031600261_1.html
[2] хостинг: https://www.reg.ru/?rlink=reflink-717
[3] Custom Authentication.: https://msdn.microsoft.com/en-us/library/dn783423.aspx
[4] Источник: https://habrahabr.ru/post/306706/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best
Нажмите здесь для печати.