黑客在利用谷歌Firebase對微軟Office365進行攻擊
研究人員表示,最近一個目的在于竊取微軟登錄憑證的網絡釣魚活動正在使用谷歌Firebase繞過微軟Office 365的電子郵件安全措施來實施攻擊。
Armorblox的研究人員發現,至少已經有2萬個郵箱收到了惡意攻擊郵件,這些郵件內容主要是分享電子資金轉移(EFT)支付的信息。這些釣魚郵件的主題欄寫的非常簡短,只有"TRANSFER OF PAYMENT NOTICE FOR INVOICE"的字樣,還含有一個從云端下載 "發票 "的鏈接。
點擊該鏈接瀏覽器就開始了一系列的重定向操作,最終將用戶引導到了一個帶有微軟Office logo的頁面,研究人員發現該頁面托管在谷歌的Firebase上。那個頁面是一個釣魚頁面,這樣可以很容易的獲取微軟用戶的登錄密碼、二級郵箱地址和電話號碼等重要的個人信息。
攻擊者可以利用這些信息來接管賬戶并竊取個人信息,同時他們也可能會利用這些信息進行其他方面的攻擊。
據Armorblox 說:"由于所有工作賬戶都是緊密聯系的,賬戶的憑證被竊取是非常危險的,因為網絡犯罪分子會以你的名義發送電子郵件來欺騙你的客戶,合作伙伴和家庭成員"。
對微軟Office 365的攻擊流程
郵件中的鏈接會讓用戶下載一個名為 "付款通知-PDF "的文件。它會將用戶引導到一個登陸頁面,研究人員表示,該頁面的右上方有一個 "下載 "按鈕。當鼠標懸停在鏈接上時,頁面顯示該文件托管在谷歌的Firebase上。Firebase是一個用于定制Web和移動應用程序的開發環境。
Armorblox研究員Rajat Upadhyaya周四在博客中解釋道:"下載的'發票'的文件名中可能有PDF,但它實際上是一個HTML文件,打開這個HTML文件會加載一個帶有Office 365 logo的iframe。該頁面會顯示一個縮略圖和一個查看發票的鏈接。"
點擊縮略圖或 "查看文件 "鏈接會進入到最后的釣魚頁面中,頁面要求受害者用他們的微軟憑證進行登錄,并要求他們提供備用的電子郵件地址或電話號碼。這是犯罪分子在嘗試收集更多的數據,這樣可以繞過雙因素認證(2FA)或賬戶恢復機制。
在輸入了賬號信息之后,登錄頁面會重新加載一個錯誤信息,要求用戶輸入正確的賬號信息。
Upadhyaya說:"這可能是網站存在一些后端驗證機制,會檢查輸入的信息的真實性。另一種情況是,攻擊者可能在嘗試用這種方式來獲得盡可能多的電子郵件地址和密碼,無論輸入的正確與否,都會一直出現錯誤信息。"
繞過本地電子郵件安全策略
此次攻擊活動最大的特點是采用了大量的技術手段避開了電子郵件安全防御系統。
研究人員指出:"這種電子郵件攻擊繞過了原生的微軟電子郵件安全控制系統,微軟給這封郵件分配的垃圾郵件可信度(SCL)為'1',這意味著微軟沒有將這封郵件判定為可疑郵件,反而將其投遞到了終端用戶郵箱中。"
首先,頁面的重定向的流程很復雜,這有助于郵件逃過系統的安全檢測,Upadhyaya指出,這種方式是繞過頁面安全防御系統的常見策略。
他說:"點擊郵件鏈接后會經過一個重定向,并跳轉到了一個父域名為'mystuff.bublup.com'的頁面上。’’
有趣的是,由于Firebase是一個可信的域名,將HTML釣魚頁面托管在谷歌的Firebase上,電子郵件就可以通過包括Exchange在線保護(EOP)和Office 365的Microsoft Defender 在內的windows內置的微軟安全過濾器。
研究人員說:"托管在‘Firebase’這樣有名的平臺上的web網站會欺騙受害者,也很容易繞過電子郵件安全檢查技術,讓受害者以為點擊鏈接就能找到縮略圖中顯示的發票。"
Firebase在之前的攻擊中已經被利用過很多次了。例如,去年發生了一系列的使用谷歌Firebase托管釣魚網站進行攻擊的活動,這表明網絡犯罪分子在利用谷歌云基礎設施的信任度來欺騙受害者,并利用合法的電子郵件網關繞過系統的安全監察。
最后,這些郵件還繞過了大規模電子郵件系統的認證系統和反欺騙系統。
Upadhyaya說:"這封郵件是SendGrid從個人Gmail賬戶發出的,這使得電子郵件成功地通過了SPF、DKIM和DMARC等認證檢查。"
DMARC(Domain-based Message Authentication,Reporting & Conformance)被認為是電子郵件認證行業的標準,用以防止攻擊者用偽造的地址發送電子郵件。它會在郵件到達預定的目標地點之前驗證發件人的身份,并驗證發件人的域是否被冒充。
如何防止電子郵件威脅
Armorblox表示,為了更好地保護員工免受釣魚電子郵件的攻擊,公司應該對員工進行培訓,讓他們檢查與金錢和數據有關的電子郵件,包括檢查郵件發件人姓名、發件人電子郵件地址、電子郵件的內容以及電子郵件內的任何邏輯不一致的地方(例如,一個所謂的PDF文件有一個HTML擴展名)。
其他防御措施包括實施2FA方式和實施密碼管理方案。
本文翻譯自:https://threatpost.com/microsoft-office-365-attacks-google-firebase/163666/如若轉載,請注明原文地址。
