「...あなたは私から何かを求めに来ますが、敬意を払うことなく尋ねます...」
ヴィート・コルレオーネ
フィッシングは、依然として最も人気があり、最も成功したタイプのハッカー攻撃です。 ソフトウェア、サーバー、ネットワークではなく、すべてが単純ですが、情報システムの最も脆弱なコンポーネントであるユーザーが攻撃されています。 私はしばしば、個人アドレスを狙った単一のフィッシングと大量攻撃に会います。 ほとんどの場合、これらは不器用に構成された文字と不器用なフィッシングページです。 最近まで、これらの攻撃のほとんどはユーザーレベルで既にイライラしていました。電子メールはすぐに無視されました(フィッシングの兆候が非常に明らかだったため)、または最悪の場合、電子メールはサポートチームにリダイレクトされ、「このページにパスワードを入力しても安全ですか?」 もちろん、ユーザーの中にはまだ出くわした人もいますが、パーセンテージで見るとこれは本当に最小限でした。 しかし先週、フィッシング攻撃に遭遇しましたが、そのレベルには驚かされました。 私は少し分析を行い、それがどのように構成され、どのツールが使用されたかを正確に見つけました。
これがフィッシング攻撃を準備するための指示のように見えないことを願っています。実際、この記事の目的は、実際の特定のケースを伝えることです。 また、攻撃者の行動の小さな分析の結果を共有します。
フィッシングページ
私はシーケンスを観察しません(既に述べたように、これはアクションのガイドではありません)。最も驚いたこと、つまり攻撃の犠牲者が送られた偽のページから始めます。 このページは、被害者のADFSページの正確なコピーでした。 視覚的な類似性に加えて、ページは同じレベルのドメインにあり、URLは1文字だけ異なっていました。ADFSポータルの実際のアドレスはhttps://login.contoso.ch/フィッシングページのアドレスは
https://login.contoso.cf/(以下-会社名はcontosoに置き換えられます)。 はい、プロトコルは同じで、フィッシングページはSSLを使用し、COMODO!からの完全な証明書を使用しました。もちろん、Extended Validationはありませんが、Chromeはアドレスを「緑」として表示しました。
「調査」
どうして? 絶対に愚かな「ハッカー」! セカンドレベルドメインとCOMODO証明書は誰にも与えられないので、簡単に計算できます! しかし、これは一見して...
ドメイン
Googleは、.cfドメインは無料で提供することを提案しました。 この場合、重要なのは価格ではなく、クレジットカード(または他の支払い方法)の形でマークを残さずにドメインを購入できることです。 つまり、通常の(左の)メールアドレスで十分です。 レジストラの1つであるFreenomは、cfに加えて、tk、ml、gaも提供しています。 唯一の不便な点は、登録中に一部の無料のメールアドレス(mail.ru、yandex.ru、yahoo.com)を指定できないことですが、他のほとんどのアドレスではドメインを登録できることです。
メール
whoisサーバーが次のメッセージを発行したため、フィッシング詐欺師がドメインの登録に使用したメールを見つけることができませんでした。「[]プライバシーに関する声明の制限により、ドメイン名のユーザーに関する個人情報を公開できません」 ただし、フィッシングメッセージ自体はこのサービスを使用して送信されたため、プロトンメールと見なすことができます。 完全に匿名でプロトンメールにサインアップでき、調査に適切な当局を関与させても、 実践が示すようにプロトンメールを協力させることはそれほど簡単ではないため、これは驚くことではありません。
SSL証明書とホスティング
このケースの前に、我々は、痕跡を残すことなく、COMODOからの有効なSSL証明書でWebサーバーを上げることは不可能であると単純に信じていました。 結局のところ、これはそうではありません。 私たちの場合、攻撃者はCloudflareを利用しました。 Cloudflareの無料パッケージの提案された機能の小規模な分析により、フィッシングの機会の倉庫が明らかになりました。
-完全に匿名の登録。 (同じプロトンメールからの)メールアドレスで十分です。 理論的には、どのIPアドレスの登録/ログインが行われたかを見つけることができますが、攻撃者が実際のアドレスを簡単に隠すことができると確信しています。
-COMODOから無料の証明書。 無料であるだけでなく、追加の確認なしで数分で発行されます。
-Webサーバーの実際のIPアドレスを非表示にします。 すべてのトラフィックはCloudflareを通過します(これは主にCDNサービスです)
-SSLオフロード。 実際のWebサーバーは、保護されていないhttp経由でも機能します。Cloudflareでは、すべてのトラフィックがSSLを通過します。 これは、HTTPを使用した無料のホスティングを見つけるのが現実であるため重要です。ただし、SSLサポートを使用してホスティングを行う必要があります(トレースを残す)。
そしてもう1つの事実:まれな例外を除き、ga、cf、tkドメインのCAサービスは証明書に署名しません。 この場合(フィッシング詐欺者でなくても)Cloudflareは問題を解決し、それらを介して問題なく証明書が発行されます。
フィッシングでの未検証のリダイレクト
今から楽しい部分です。 それ自体がソーシャルエンジニアリングの傑作であったフィッシングメールには、当然ながらリンクがありましたが、フィッシングページはありませんでした。 このリンクは、会社のWebサイト、Unvalidated Redirectsなどの脆弱性を持つページへのリンクでした。 これは、おそらく、この手紙がすべてのスパム対策フィルターを通過した理由の1つであり、user @ contoso.chへの手紙には、
http://contoso.ch/vulnerable.php?url=https://login.contoso.cf/
それらを見つけるのは現実的ですか?
疑いもなく、私たちはそれらを見つけることができません。 「臓器」はそれらを見つけることができますか? レジストラまたはCloudflareにデータをリクエストして、同じプロトンメールにアクセスしてみてください。 協力する場合、取得できる最大数はIPアドレスです。 IPアドレスで犯罪者を「計算」することは可能ですか? 私はそれを疑います。
まとめ
「購入」されたユーザーの数はわかりません。ユーザー自身は認識されません。 念のため、すべてのユーザーにADパスワードを変更するようアドバイスしました。 会社自体は、 カスタム認証を使用してADFSで2要素認証を有効にすることを強く推奨しました。
PSそして、まだ、私は私自身がこれに導かれなかったかどうか確信がありません-レベルは私に感銘を与えました。