網路釣魚
駭客利用檔案分享服務與反向代理器來蒐集登入憑證
合法的服務通常能避開企業現有的資安措施,使得這類工具對駭客相當有吸引力。本文分析了一起網路釣魚攻擊行動,它使用惡意的電子郵件來夾帶某個檔案分享服務的連結,此連結指向包含第二個連結的 PDF 文件,目的是要竊取登入資訊和連線階段 cookie。 文中討論的事件也可當成一項提醒,讓大家知道:已知或信任的寄件人寄來的電子郵件無法保證沒有問題。
最近,我們發現了一起網路釣魚行動,駭客散播特製的社交工程電子郵件,裡面含有一個 DRACOON.team 的連結,DRACOON 是一家檔案分享服務,主打安全的資料儲存、管理與檔案分享。當受害者被騙開啟郵件中的連結時,就會看到一個存放在 DRACOON 上的 PDF 文件。這個文件含有第二個連結會將受害者帶到駭客掌控的伺服器,該伺服器會假冒 Microsoft 365 的登入頁面並身兼一台反向代理器 (reverse proxy) 來竊取受害者登入資訊和連線階段 cookie。這些被偷的登入憑證和 cookie 接著可被用來避開 MFA 多重因素認證機制(Multi-factor authentication,縮寫為MFA)。
駭客掌控的反向代理器會擔任中介伺服器的角色,遊走於受害者與合法認證網頁之間,例如 Microsoft 365 登入頁面。當受害者在操作假冒的登入頁面時,反向代理器會負責顯示正牌的登入表單、轉發收到的請求,然後再將正牌 Microsoft 365 登入頁面的回應傳回給受害者。
就在不知情的使用者在頁面上輸入自己的登入憑證之後,我們就立即觀察到有人利用受害者的登入憑證來登入 Microsoft 365。而且登入之後,會自動存取受害者的電子郵件信箱,然後進一步散播一開始的網路釣魚郵件。這些郵件含有當初讓受害者上當的相同連結,這些連結會發送給受害者通訊錄中的聯絡人。
至於反向代理器的功用,應該跟 EvilProxy 網路釣魚套件有關。關於這一點,Microsoft、Proofpoint 和 Menlo Security 已經有大量報導。不過本文討論的近期活動並未使用到重導技巧,而是使用一個中介連結來指向含有惡意連結的檔案,後面這個惡意連結才會連上駭客掌控的基礎架構。這套新的方法可以繞過電子郵件防護,因為一開始的連結看起來似乎指向合法服務,而且駭客也沒有直接發送檔案到受害者端點,因為其指向的檔案當中就有一個可用瀏覽器直接開啟的檔案分享服務連結。
我們已經將此事件通報給 Dracoon 團隊,他們也已經掃描並清除了駭客在他們服務上散播的可疑網路釣魚郵件附件檔案。此外,我們也發現上傳這些附件檔案的帳號已經因違反服務條款而被標記為刪除。
網路釣魚郵件深入研究
事件中的網路釣魚郵件是來自受害者的一家供應商,此供應商為他們提供了某些商品和服務,我們懷疑此供應商企業內應該有某位使用者的電子郵件帳號被盜,被駭客用來發送網路釣魚郵件給受害者。正因為這封網路釣魚郵件是來自可信任或已認識的帳號,所以才會讓受害者失去戒心。
圖 2 顯示受害者收到的網路釣魚郵件樣本,它很聰明地偽裝成一張訂單。文件連結的說明文字還含有供應商的公司名稱,使得它更難讓人分辨真假。
此連結會將使用者帶到以下網址:
https[:]//dracoon[.]team/public/download-shares/RjqetKkzebun7rB6OWWI3kPcpZ3RruPA
重導連結指向一個經由 Dracoon 網站分享的 PDF 檔案。使用者可直接開啟這個 PDF 檔案而無須將它下載,這樣就能減少犯罪證據儲存到硬碟的機會。
點選該連結會將使用者重導到一個假的 Microsoft 365 登入頁面,也就是負責處理 Microsoft 365 登入請求的反向代理器,駭客就是透過這樣的方式竊取使用者的登入憑證。如果仔細看它的網址,就會發現它是一個冒充 Microsoft 365 登入頁面的網站,正牌的 Microsoft 365 登入頁面網址應該是:https://login.microsoftonline.com/。
當我們檢視冒牌登入頁面的原始碼時,會看到它參照了一個名為「myscr759609.js」的 JavaScript 檔案,裡面包含許多數學運算程式碼。
當使用 Node.js 在本地端執行時,myscr759609.js 會被解碼,解碼之後就會出「圖 7」所看到的 HTML 程式碼。從 HTML 內容可以清楚看到 myscr759609.js 正是負責蒐集登入憑證、記錄這些憑證,然後透過 POST 請求將蒐集到的資訊上傳到一個未公開的網頁。
仔細看了一下 Microsoft 365 的登入事件與MFA 多重認證 記錄檔之後,我們確認了反向代理器的存在 (IP 位址:212.83.170.137),這一點透過裝置登入事件清單與對應的登入位置就能證明。透過交叉比對 Trend Vision One 的資料和 Microsoft 365 登入事件,我們成功找到了一些需要立即關注的帳號。
除此之外,還有 MFA 多重認證事件可提供有關被盜帳號的有價值的訊息。該資料讓我們可比對使用者與網路釣魚郵件互動的時間戳記,以及 MFA 多重認證記錄檔記載的時間戳記,就能知道使用者是否不小心洩漏自己的登入憑證。
Trend Managed Extended Detection and Response (MxDR)的調查
從趨勢科技 Vision One,可以清楚看到事件發生的序列。根據畫面截圖,網路釣魚郵件顯然是寄到一個 Microsoft Outlook 帳號,接著使用者點選了郵件內的連結,然後被帶到存放在 Dracoon 服務上的 PDF 檔案。
這個 PDF 檔案又包含另外一個連結會將使用者帶到反向代理器用來蒐集登入憑證的頁面,如「圖 11」所示。由於使用者可以透過該服務內建的 PDF 檢視器來下載或直接開啟 Dracoon 服務上的文件,所以使用者只要用瀏覽器就能與該文件互動。
評估網路釣魚攻擊的衝擊,是事件回應當中很重要的一環,因為這樣才能了解企業內有多少帳號受害。透過趨勢科技 Trend MxDR 的協助,我們就能徹底掌握網路釣魚郵件的收件人有哪些、哪些人開啟了網路釣魚連結,因而可能洩露了自己的登入憑證。
除此之外,趨勢科技的調查也披露了一系列更多該起網路釣魚行動所使用的 Dracoon 連結。這些連結同樣也假冒 Microsoft 365,同樣也是為了竊取登入憑證,並利用連線階段 cookie 來繞過多重認證。駭客使用了各種不同的郵件標題,例如:「Shipping Document」(出貨文件)、「New Brazil File」(新的巴西檔案)、「China Shippement」(中國出貨單)、「Document from China」(來自中國的文件)等等。在趨勢科技 MxDR 團隊的努力下,我們成功追蹤到被盜的帳號,並立即建議受影響的使用者變更密碼。
結論與建議
MFA 多重認證是一般推崇可對抗登入憑證竊盜與未經授權存取的有效防禦手段。儘管它無疑是個強大的資安工具,但很重要的是要認清多重認證並非確保網路帳號與敏感資訊安全的萬靈丹。
正如本文所討論,在遇到像 EvilProxy 這樣的攻擊時,MFA 多重認證的缺點就會暴露出來。駭客可攔截和篡改網路流量,進而繞過 MFA 多重認證的額外防護。
使用 DRACOON.team 來存放 PDF 檔案可以讓駭客有效規避電子郵件防護,透過合法的檔案分享服務,駭客將大幅提高成功率並躲避偵測。合法的服務通常能避開企業現有的資安措施,使得這類工具對駭客相當有吸引力。
本文討論的事件也可當成一項提醒,讓大家知道:已知或信任的寄件人寄來的電子郵件無法保證沒有問題。使用者應隨持保持警覺,並在點選連結或下載附件時小心謹慎,即使是來自信任的來源也不能掉以輕心。
趨勢科技 Trend MxDR 對於偵測使用 EvilProxy 這類反向代理器的網路釣魚攻擊很有效率。MxDR 能持續監控網路流量、分析流量模式、運用威脅情報來立即發掘這類攻擊,並且警告受影響的客戶。
以下是企業可建置的一些主動措施與防範策略:
- 資安意識:定期舉辦資安意識課程與完整的訓練計畫來教育使用者,提供詳細的資訊和實務指南,讓使用者對於潛在風險與如何防範培養深刻的認識。還有一點要特別強調的是,使用者在開啟網址之前,務必先檢查網址的真實性。與其假設所有網址都是安全的,企業應鼓勵使用者多一份戒心,在造訪任何網站之前,先透過一些可靠的方法來確認網站的真實性與安全性。定期舉辦網路釣魚攻擊模擬演練,主動提升員工的防範意識。
- 建置可防範網路釣魚的多重認證:採用可防範網路釣魚的MFA 多重因素認證(,是一般推薦的資安提升措施之一。建置可防範網路釣魚攻擊的 MFA 多重認證方法,例如採用 YubiKey 這類裝置的 FIDO 認證,或無密碼多重認證,企業將大幅強化認證流程,防範登入憑證竊取。
- 電子郵件防護:企業可建置一套像 Trend Email Security 這樣的電子郵件防護解決方案來保護員工和使用者免於惡意郵件的威脅。此外,建置 Domain-based Message Authentication, Reporting and Conformance (DMARC)、Sender Policy Framework (SPF) 及 Domain Keys Identified Mail (DKIM) 也有助於提升電子郵件安全。
- 持續監控:強烈建議建置一套嚴密的持續監控系統,集中蒐集記錄檔並密切監控,尤其是 Microsoft 365 的存取與 MFA 多重認證記錄檔,以便迅速發掘、調查及回應任何可疑的存取活動。除此之外,也應考慮透過自動化來馬上停用或鎖定有可疑徵兆的帳號,例如:使用者不可思議的移動速度,或試圖暴力登入帳號。
入侵指標資料
如需本文提到的入侵指標完整清單,請至此處。