Фішинг на новому рівні: Cloudflare + Protonmail + Unvalidated Redirects – набір юного фішера

«… ти приходиш і просиш щось у мене, але ти просиш без поваги ...»
Віто Корлеоне

Фішинг все ще найпопулярніший і найбільш успішний тип хакерських атак. Все просто, атакуються не софт, не сервера, не мережі, а найбільш вразливі компоненти інформаційних систем – користувачі. Я часто зустрічаюся з фішингом, як поодинокими, спрямованим на особисті адреси, так і масовими атаками. У більшості випадків це невміло складені листи і кострубато сварганенные фішинг сторінки. До недавнього часу більшість таких атак зривалося вже на рівні користувачів: листи або відразу ігнорувалися (так як ознаки фішингу були дуже явними), або, в гіршому випадку, листи перенаправлялися в службу підтримки з питанням «чи безпечно вводити пароль на цій сторінці?». Звичайно, якась частина користувачів все-таки трапилася, але у процентному співвідношенні це був реально мінімум. Але буквально минулого тижня я зіткнувся з фішинг атакою, рівень якої мене здивував. Я провів невеликий аналіз, і з'ясував як саме вона була організована і які інструменти були при цьому використані.

Сподіваюся, це не буде виглядати як інструкції для підготовки фішинг атак, насправді, мета статті – розповісти про конкретний випадок з практики. Я також поділюся результатами невеликого аналізу дій зловмисників.

Phishing page
Послідовність дотримуватися не буду (як вже говорилося, це не керівництво до дії), і почну з того, що мене здивувало найбільше, а саме підроблена сторінка, куди прямували жертви атаки. Сторінка була точною копією ADFS сторінки жертви. Крім візуальної схожості, сторінка була на домені того ж рівня та URL відрізнялася тільки однією буквою: реальний адресу ADFS порталу був login.contoso.ch/ адреса фішинг сторінки login.contoso.cf/ (тут і далі — назва фірми замінено на contoso). І так, протокол збігався, фишинговая сторінка використовувала SSL з повноцінним сертифікатом від COMODO!.. Звичайно, без Extended Validation, але тим не менш, Chrome відображав адресу «зелененьким».


«Розслідування»
Як же так? Зовсім дурні «хакери»! Домени другого рівня та сертифікати COMODO кому-попало не дають, їх буде легко обчислити! Але це на перший погляд…

Домен
Google підказав, що .cf домени роздають безкоштовно. В даному випадку важлива не ціна, а можливість придбати домен, не залишаючи слідів у вигляді кредитної картки (або іншого способу оплати). Тобто, звичайного (лівого) адреси електронної пошти більше ніж достатньо. Один з реєстраторів, Freenom, крім cf, пропонує ще й tk, ml, ga. Єдина незручність, при реєстрації не виходить вказати деякі адреси безкоштовної електронної пошти mail.ru, yandex.ru, yahoo.com) але з більшістю інших адрес зареєструвати домен вдається.

пошта
Будь поштою користувався наш фішер для реєстрації домену ми дізнатися не змогли, так як whois server видав таке повідомлення: «Due to restrictions in [] Privacy Statement personal information about the user of the domain name cannot be released». Проте, можна припустити, що protonmail, так як самі фішинг повідомлення відправлялися за допомогою цього сервісу. Це не дивно, так як на protonmail можна зареєструватися абсолютно анонімно, і, навіть якщо залучити відповідні органи для розслідування, змусити protonmail співпрацювати, як показує практика, буде не так-то просто.

SSL сертифікат та хостинг
До цього випадку ми наївно вважали що підняти web сервер з валідним ssl сертифікатом від COMODO, не залишивши жодних слідів, неможливо. Як виявилося, це не так. У нашому випадку хакери скористалися Cloudflare. Невеликий аналіз пропонованих функцій безкоштовного пакету від Cloudflare виявив джерело можливостей для фішингу:
— Повністю анонімна реєстрація. Адреси пошти (від того ж protonmail) більш ніж достатньо. Теоретично, вони можуть з'ясувати з якого IP адреси була реєстрація/вхід, але я більш ніж упевнений, що наші зловмисники з легкістю могли приховати реальний адресу.
— Безкоштовний сертифікат від COMODO. Він не тільки безкоштовний, але і видається за кілька хвилин без будь-якої додаткової перевірки.
— Приховування реального IP адреси веб-сервера. Весь трафік йде через Cloudflare (це в першу чергу CDN-сервіс)
— SSL offloading. Реальний веб сервер може працювати і по незахищеному http, із застосуванням Cloudflare весь трафік піде через SSL. Це важливо тому що, безкоштовний хостинг з HTTP знайти реально, а за хостинг з підтримкою SSL треба платити (залишаючи сліди).

І ще один факт: за рідкісними винятками, CA сервіси на домени ga, cf, tk сертифікати не підписують. У цьому випадку (навіть якщо ви не фішер) Cloudflare проблему вирішує, через них сертифікат видається без проблем.

Unvalidated Redirects на службі у Phishing
Тепер найцікавіше. У фішинг листі, яке саме по собі являло шедевр соціальної інженерії, природно, було посилання, але не на фішинг сторінку. Посилання на сайт компанії, на сторінку з вразливістю типу Unvalidated Redirects. Це, можливо, було однією з причин того, що лист пройшло всі анти-спам фільтри, у листі на адресу user@contoso.ch була єдина посилання на contoso.ch/vulnerable.php?url=https://login.contoso.cf/

чи Реально їх знайти?
Без сумніву, ми самі їх знайти не зможемо. Чи зможуть їх знайти «органи»? Можна спробувати запросити дані у реєстратора або у Cloudflare і вийти на той же protonmail. Якщо вони і підуть на співпрацю, максимум що можна отримати IP адресу. Можна по IP адресою «вирахувати» злочинця? Я в цьому сумніваюся.

Підсумок
Ми не знаємо, яка кількість користувачів «купилося» — самі не визнаватимуться. На всяк випадок, ми порадили всім поміняти паролі AD. Самої компанії було настійно рекомендовано включити двофакторну авторизацію на ADFS c допомогою Custom Authentication.

P. S. І ще, я не впевнений, що я б сам не повівся на це – рівень мене вразив.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.