Фишинг на новом уровне: Cloudflare + Protonmail + Unvalidated Redirects – набор юного фишера

«… ты приходишь и просишь что-то у меня, но ты просишь без уважения …»
Вито Корлеоне

Фишинг все еще самый популярный и самый успешный тип хакерских атак. Все просто, атакуются не софт, не сервера, не сети, а самые уязвимые компоненты информационных систем – пользователи. Я часто встречаюсь с фишингом, как единичными, направленным на личные адреса, так и массовыми атаками. В большинстве случаев это неумело составленные письма и коряво сварганенные фишинг страницы. До недавнего времени большинство таких атак срывалось уже на уровне пользователей: письма или сразу игнорировались (так как признаки фишинга были очень явными) или, в худшем случае, письма перенаправлялись в службу поддержки с вопросом «безопасно ли вводить пароль на этой странице?». Конечно, какая-то часть пользователей все-таки попадалась, но в процентном соотношении это был реально минимум. Но буквально на прошлой неделе я столкнулся с фишинг атакой, уровень которой меня удивил. Я провел небольшой анализ, и выяснил как именно она была организована и какие инструменты были при этом использованы.

Надеюсь, это не будет выглядеть как инструкции для подготовки фишинг атак, на самом деле, цель статьи – рассказать о конкретном случае из практики. Я также поделюсь результатами небольшого анализа действий злоумышленников.

Phishing page

Последовательность соблюдать не буду (как уже говорилось, это не руководство к действию), и начну с того, что меня удивило больше всего, а именно поддельная страница, куда направлялись жертвы атаки. Страница была точной копией ADFS страницы жертвы. Кроме визуальной схожести, страница была на домене того же уровня и URL отличалась только одной буквой: реальный адрес ADFS портала был

https://login.contoso.ch/

, адрес фишинг страницы —

https://login.contoso.cf/

(здесь и далее — название фирмы заменено на contoso). И да, протокол совпадал, фишинговая страница использовала SSL с полноценным сертификатом от COMODO!.. Конечно, без Extended Validation, но тем не менее, Chrome отображал адрес «зелененьким».

«Расследование»

Как же так? Совсем глупые «хакеры»! Домены второго уровня и сертификаты COMODO кому попало не дают, их будет легко вычислить! Но это на первый взгляд…

Домен

Google подсказал, что .cf домены раздают бесплатно. В данном случае важна не цена, а возможность приобрести домен, не оставляя следов в виде кредитной карты (или другого способа оплаты). То есть, обычного (левого) адреса электронной почты более чем достаточно. Один из регистраторов, Freenom, помимо cf, предлагает еще и tk, ml, ga. Единственное неудобство, при регистрации не получается указать некоторые адреса бесплатной электронной почты (mail.ru, yandex.ru, yahoo.com) но с большинством других адресов зарегистрировать домен удается.

Электронная почта

Какой почтой пользовался наш фишер для регистрации домена мы узнать не смогли, так как whois server выдал такое сообщение: «Due to restrictions in [] Privacy Statement personal information about the user of the domain name cannot be released». Однако, можно предположить, что protonmail, так как сами фишинг сообщения отправлялись с помощью этого сервиса. Это не удивительно, так как на protonmail можно зарегистрироваться абсолютно анонимно, и, даже если привлечь соответствующие органы для расследования, заставить protonmail сотрудничать, как показывает практика ^[1], будет не так-то просто.

SSL сертификат и хостинг

До этого случая мы наивно полагали что поднять web сервер с валидным ssl сертификатом от COMODO, не оставив никаких следов, невозможно. Как оказалось, это не так. В нашем случае атакующие воспользовались Cloudflare. Небольшой анализ предлагаемых функций бесплатного пакета от Cloudflare выявил кладезь возможностей для фишинга:
— Полностью анонимная регистрация. Адреса почты (от того же protonmail) более чем достаточно. Теоретически, они могут выяснить с какого IP адреса была регистрация/вход, но я более чем уверен, что наши злоумышленники с легкостью могли скрыть реальный адрес.
— Бесплатный сертификат от COMODO. Он не только бесплатный, но и выдается за несколько минут без какой-либо дополнительной проверки.
— Скрытие реального IP адреса веб-сервера. Весь трафик идет через Cloudflare (это в первую очередь CDN-сервис)
— SSL offloading. Реальный веб сервер может работать и по незащищенному http, с применением Cloudflare весь трафик пойдет через SSL. Это важно потому что, бесплатный хостинг ^[2] с HTTP найти реально, а за хостинг ^[2] с поддержкой SSL надо платить (оставляя следы).

И еще один факт: за редкими исключениями, CA сервисы на домены ga, cf, tk сертификаты не подписывают. В этом случае (даже если вы не фишер) Cloudflare проблему решает, через них сертификат выдается без проблем.

Unvalidated Redirects на службе у Phishing

Теперь самое интересное. В фишинг письме, которое само по себе представляло шедевр социальной инженерии, естественно, была ссылка, но не на фишинг страницу. Ссылка была на сайт компании, на страницу с уязвимостью типа Unvalidated Redirects. Это, возможно, было одной из причин того что письмо прошло все анти-спам фильтры, в письме на адрес user@contoso.ch была единственная ссылка на

http://contoso.ch/vulnerable.php?url=https://login.contoso.cf/

Реально ли их найти?

Без сомнения, сами мы их найти не сможем. Смогут ли их найти «органы»? Можно попробовать запросить данные у регистратора или у Cloudflare и выйти на тот же protonmail. Если они и пойдут на сотрудничество, максимум что можно получить – это IP адрес. Можно ли по IP адресу «вычислить» преступника? Я в этом сомневаюсь.

Итог

Мы не знаем какое количество пользователей «купилось» — сами признаваться не будут. На всякий случай, мы посоветовали всем поменять пароли AD. Самой компании было настоятельно рекомендовано включить двухфакторную авторизацию на ADFS c помощью Custom Authentication. ^[3]

P.S. И еще, я не уверен, что я бы сам не повелся на это – уровень меня впечатлил.

Автор: EminH

Источник ^[4]