Новый способ создания фишинговых страниц позволяет избежать блокировки, основанной на индикаторах взлома.
Исследователь безопасности Марсель Афрахим продемонстрировал способ, с помощью которого можно злоупотреблять службой хостинга сайтов и web-приложений Google App Engine для создания неограниченного количества фишинговых страниц, оставаясь при этом незамеченным.
Обычно мошенники используют облачные сервисы для создания вредоносного приложения, которому назначается поддомен. Затем они размещают там фишинговые страницы или могут использовать приложение в качестве C&C-сервера для доставки вредоносного ПО.
Но структуры URL-адресов обычно создаются таким образом, чтобы их можно было легко отслеживать и блокировать с помощью продуктов корпоративной безопасности. Таким образом, ИБ-специалист может блокировать трафик к конкретному приложению, просто блокируя запросы к определенному поддомену и от него.
Однако в случае с Google App Engine ситуация немного другая. Домен Google appspot.com, на котором размещены приложения, имеет следующую структуру URL — «VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com». В этом случае поддомен представляет собой не только приложение, но и поля версии приложения, имени службы, идентификатора проекта и идентификатора региона.
Если какое-либо из данных полей является неверным, Google App Engine не будет отображать страницу «404 Not Found», а вместо этого покажет страницу приложения по умолчанию.
Существует множество настроек поддоменов, позволяющих получить доступ к вредоносному приложению злоумышленника. Пока у каждого поддомена есть действительное поле «project_ID», недействительные варианты других полей могут использоваться по усмотрению злоумышленника для создания длинного списка поддоменов, которые все ведут к одному и тому же приложению.
Например, как продемонстрировал Афрахим, оба приведенных ниже URL-адреса, которые выглядят совершенно по-разному, представляют одно и то же приложение, размещенное на Google App Engine.
https[:]//random123-random123-random123-dot-bad-app-2020.ue.r.appspot
https[:]//insertanythingyouwanthere-xyz123-xyz123-dot-bad-app-2020.ue.r.appspot
Кроме того, большое количество вариантов поддоменов делает бесполезным подход к блокировке, основанный на индикаторах взлома.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале