軟件即服務(wù)(SaaS)在過(guò)去的十年中呈現(xiàn)爆炸式增長(zhǎng),企業(yè)無(wú)需再進(jìn)行痛苦的安裝部署、不需要再簽訂不靈活的合同�,直接可以支付需要的專(zhuān)業(yè)軟件的許可費(fèi)。犯罪分子也采用了軟件即服務(wù)的模式�����,努力達(dá)成多元化與專(zhuān)業(yè)化��。這樣做大大降低了網(wǎng)絡(luò)犯罪的入門(mén)門(mén)檻���,不懂技術(shù)的攻擊者也可以購(gòu)買(mǎi)到攻擊所需的一切�。
網(wǎng)絡(luò)犯罪中自動(dòng)化程度最高的莫過(guò)于網(wǎng)絡(luò)釣魚(yú)��。IBM 在 2023 年的威脅情報(bào)報(bào)告中指出���,網(wǎng)絡(luò)釣魚(yú)是主要的網(wǎng)絡(luò)攻擊感染媒介�。網(wǎng)絡(luò)釣魚(yú)即服務(wù)(PhaaS)就是經(jīng)驗(yàn)豐富的攻擊者開(kāi)發(fā)惡意代碼并管理基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)釣魚(yú)�����,再將其出售給經(jīng)驗(yàn)不足的攻擊者��。與合法的 SaaS 服務(wù)相似,也有各種付費(fèi)方案(許可證����、訂閱制以及結(jié)果付款等)。本文以 Greatness 為例詳細(xì)介紹 PhaaS 的工作原理����,包括如何部署網(wǎng)絡(luò)釣魚(yú)工具包。
網(wǎng)絡(luò)釣魚(yú)即服務(wù):Greatness
Greatness 是一個(gè)網(wǎng)絡(luò)釣魚(yú)工具��,從 2022 年 11 月以來(lái)一直很活躍���,主要用于竊取用戶(hù)憑據(jù)和 Cookie 來(lái)盜竊 Microsoft 365 賬戶(hù)����。甚至��,該網(wǎng)絡(luò)釣魚(yú)工具還支持處理多因子(MFA)認(rèn)證校驗(yàn)�。
與任何 SaaS 應(yīng)用程序一樣,用戶(hù)在提交付款后會(huì)獲得許可證與登錄憑據(jù)�����。首先��,用戶(hù)會(huì)被引導(dǎo)至管理面板,在其中輸入密碼就可以登錄平臺(tái)�����。
【登錄表單】
登錄后�����,主頁(yè)會(huì)顯示儀表盤(pán)�����。頁(yè)面中�,網(wǎng)絡(luò)釣魚(yú)攻擊的運(yùn)營(yíng)方可以在此看到已竊取到的各種憑據(jù)�,更便捷地衡量在 Greatness 上的投資回報(bào)。
【儀表盤(pán)】
創(chuàng)建網(wǎng)絡(luò)釣魚(yú)攻擊
Greatness 主要是個(gè)構(gòu)建工具�����,用戶(hù)可以使用其創(chuàng)建不同類(lèi)型的攻擊����。例如,攻擊者可以創(chuàng)建一個(gè)網(wǎng)絡(luò)釣魚(yú)郵件����,其中包含一個(gè)惡意鏈接�����,該鏈接會(huì)跳轉(zhuǎn)至偽造的釣魚(yú)頁(yè)面�����?����;蛘咭部梢詣?chuàng)建一個(gè)包含惡意附件的釣魚(yú)郵件�,用戶(hù)打開(kāi)后會(huì)下載惡意軟件�����。
該網(wǎng)絡(luò)釣魚(yú)工具允許用戶(hù)生成不同的攻擊模板���,以實(shí)現(xiàn)高效的網(wǎng)絡(luò)釣魚(yú)攻擊���。網(wǎng)絡(luò)釣魚(yú)工具會(huì)生成對(duì)應(yīng)的 HTML 文件,攻擊者可以將其作為郵件附件發(fā)送給受害者����,或者與欺騙性 URL 相綁定���。
【創(chuàng)建釣魚(yú)頁(yè)面】
下圖顯示了發(fā)票欺詐的示例。生成的 HTML 文件看起來(lái)是一個(gè)模糊的辦公文檔��,上面覆蓋著微軟登錄表單���,要求用戶(hù)提供憑據(jù)才能查看。該構(gòu)建工具也提供了其他選項(xiàng)���,例如對(duì)背景的修改����,使其看起來(lái)像其他類(lèi)型的文件(Word 文件或 PDF 文件)�。該工具還提供了自動(dòng)填充功能,允許攻擊者提前配置目標(biāo)賬戶(hù)�����,受害者只需要輸入密碼即可���,這使虛假頁(yè)面看起來(lái)更可信�����。
【虛假頁(yè)面】
受害者輸入密碼后���,該工具將會(huì)檢查賬戶(hù)是否啟用了多因子認(rèn)證(MFA)�。如果啟用了 MFA�,也會(huì)要求用戶(hù)提供 SMS/OTP 發(fā)送的代碼。最后���,網(wǎng)絡(luò)釣魚(yú)工具會(huì)使用微軟的 API 來(lái)獲取有效的 Cookie�。
Office 頁(yè)面還提供了一系列配置選項(xiàng)����。第一個(gè)選項(xiàng)是檢查服務(wù)器狀態(tài),Greatness 網(wǎng)絡(luò)釣魚(yú)工具必須擁有有效的許可證密鑰��,并且必須能夠在服務(wù)器進(jìn)行校驗(yàn)�����。Greatness 還允許上傳新的配置文件(httpd.grt)����,以及攔截 IP 地址的配置���。
【管理頁(yè)面】
配置頁(yè)面
Greatness 面板的最后一部分是配置頁(yè)面。攻擊者可以通過(guò)該頁(yè)面配置控制面板的名稱(chēng)與密碼���,更重要的是配置恢復(fù)被竊憑據(jù)的替代方法�����。Greatness 面板能夠通過(guò) Telegram Bot�、郵件或者二者兼而有之發(fā)送結(jié)果���,以及所需要的客戶(hù)端 API 密鑰。
【配置頁(yè)面】
Greatness 如何保護(hù)自己
Greatness 需要密碼才能登錄����,但攻擊者如何防止客戶(hù)端源代碼被竊取呢?首先就是對(duì)源代碼的高度混淆,與很多商業(yè)軟件類(lèi)似����,通過(guò)這種方式阻止其他人了解實(shí)現(xiàn)原理并防止被輕易復(fù)制。
【混淆源代碼】
混淆并不是唯一的手段����。當(dāng)用戶(hù)打開(kāi)生成的 HTML 網(wǎng)頁(yè)時(shí)����,就會(huì)向中央服務(wù)器發(fā)送請(qǐng)求檢查 API 密鑰是否有效���。如果 API 密鑰有效����,將會(huì)響應(yīng)正確的 HTML 代碼繼續(xù)進(jìn)行攻擊��。如果檢查無(wú)效�����,中央服務(wù)器只會(huì)發(fā)送錯(cuò)誤頁(yè)面����,如下所示:
【校驗(yàn)失敗頁(yè)面】
中央服務(wù)器是在 httpd.grt 中定義的,源代碼反混淆后如下所示�。攻擊者還會(huì)通過(guò)混淆配置文件的方式來(lái)隱藏中央服務(wù)器地址,對(duì)其進(jìn)行編碼使其難以被發(fā)現(xiàn)��。該服務(wù)會(huì)隨著時(shí)間與部署位置的變化而變化:
【未加密函數(shù)】
領(lǐng)先網(wǎng)絡(luò)釣魚(yú)即服務(wù)提供商
Greatness 網(wǎng)絡(luò)釣魚(yú)工具包是網(wǎng)絡(luò)釣魚(yú)演進(jìn)的一個(gè)案例���。隨著時(shí)間的推移��,能夠提供繞過(guò) MFA 的攻擊工具越來(lái)越多地出現(xiàn)在犯罪分子視野中���。PhaaS 這種商業(yè)模式又將其交付給了任何愿意付錢(qián)的人�,無(wú)論其攻擊知識(shí)與攻擊技能水平如何��。
開(kāi)發(fā)人員也必須要控制許可證才能確認(rèn)網(wǎng)絡(luò)釣魚(yú)工具包的合規(guī)使用��,這也為分析人員研究攻擊者的攻擊行動(dòng)提供了機(jī)會(huì)�����。
參考資料
https://outpost24.com/blog/phishing-as-a-service-platform-targeting-microsoft-365/
文章來(lái)源:FreeBuf
在線(xiàn)咨詢(xún)
在線(xiàn)咨詢(xún)
0371-63319761