大家好,我是 零日情报局。
本文首发于公众号 零日情报局,微信ID:lingriqingbaoju。
全球蔓延的新冠疫情加剧远程办公需求,就在人们享受着远程办公软件带来的便利时——Zoom,全球知名的云视频会议软件,爆雷了。
开年3个月新增1.9亿用户,股价大涨130%,就连Zoom自己也没想到,原本前景大好的态势,因频频爆发的隐私安全问题和漏洞凉了下来。
比如,因为Zoom会议ID过短,任何人都可以随机加入或搅乱视频会议,包括黑客和网络喷子,大量“ Zoombombing”造成会议崩溃之类的事件普遍发生;还有一系列安全漏洞的曝光,导致约15000个Zoom用户私密视频被上传至公开网站……
随后,世界头号网络会议供应商,Cisco旗下的在线会议软件“WebEx”,于4月8日,被Cofense网络钓鱼防御中心曝出相关钓鱼活动,WebEx用户成了新一茬“韭菜”。
Zoom、WebEx这些远程办公软件相继爆雷,早在远程办公这股风暴席卷全球时,网络攻击者就已经站在了风里。
网络钓鱼者为WebEx用户设下四重陷阱
铁打的网络攻击,流水的攻击对象,这一次轮到了WebEx。
根据Cofense网络钓鱼防御中心发现的钓鱼活动,有攻击者蹭上了远程办公热点,伪造WebEx安全警告的钓鱼邮件(且钓鱼邮件未被思科邮件防火墙捕获),借此诱导用户通过钓鱼链接进行“更新”,试图窃取WebEx凭据,以访问网络电话会议并盗取参与者共享的敏感文件和数据。
今时不同往日,在这个钓鱼邮件满天飞的特殊时期,能一边躲过各大安全厂商的围追截堵,一边骗过受过多次教育的用户,这次钓鱼攻击有何高明之处?
真实,这是钓鱼攻击成功的唯一核心要素。整个钓鱼过程太逼真了!即使是看惯了高仿货的人,也难免会因为看走眼,栽在精仿货的身上。通过还原本次钓鱼活动,零日总结出了攻击者设下的四个陷阱,下面让我们一起真实感受下这次钓鱼攻击的仿真程度。
在整个攻击过程中,攻击者发送了一封主题为“安全警报”的电子邮件,内含欺骗性的地址“meetings [@] webex [。] com”,诱使用户继续操作,这一点没什么特别之处。
陷阱一:逼真的高危漏洞警告
电子邮件内容说明用户存在一个必须修补的高风险漏洞,该漏洞必须允许未经身份验证的用户安装“在系统上具有高特权的Docker容器”。攻击者用真实内容解释完该漏洞问题后,甚至链接了该漏洞的合法文章,邮件内容中的漏洞编号“CVE-2016-9223”文本,直接链接了该文章URL:hxxps:// cve [。] mitre [。] org / cgi-bin / cvename.cgi?name = CVE-2016-9223。
相信我,大多数具有安全意识的用户,都会按照电子邮件中的说明进行操作,选择立即“更新”。
陷阱二:以假乱真的URL链接
即使还有更谨慎的用户心存疑虑也无济于事,攻击者还精心设计了邮件“加入(安装/更新)”按钮嵌入的URL: hxxps://globalpagee-prod-webex [。] com / signin;合法的Cisco WebEx URL为:hxxps://globalpage-prod [。] webex [。]com / signin。
乍一看,这两个URL看起来非常相似,但是仔细观察,发现攻击者在“ globalpage”中添加了一个额外的“ e”。同样,恶意链接不是“ prod.webex”,而是“ prod-webex”。
陷阱三:为欺诈域名申请SSL证书
更为狡猾的是,攻击者在进行攻击前就已经通过Public Domain Registry注册了一个欺诈域名,甚至可以为自己的欺诈域名申请SSL证书,从而获得最终用户的进一步信任。
官方的Cisco证书是通过HydrantID验证的,而攻击者的证书是通过Sectigo Limited验证的。无论谁验证了攻击者的证书,结果都是相同的:一个锁出现在URL的左侧。
用户重定向到的网络钓鱼页面与合法的Cisco WebEx登录页面相同,在视觉上没有区别。
陷阱四:将用户定向到官网以证明合法性
即使在用户提供WebEx凭据后,攻击者也没有掉以轻心,继续将用户导流到Cisco官方网站以下载WebEx。这足以说服大多数用户相信,这次更新WebEx应用程序是合法的。
高真实度的陷阱与钓鱼过程环环相扣,成功的钓鱼攻击背后,没有一个步骤是无辜的。
远程办公频繁爆雷
成为当前网络攻击猛攻目标
话说回来,Zoom、WebEx爆雷的根源还是远程办公。迅速崛起的远程办公需求,为网络攻击者提供了一个新的攻击思路。
零日从公开数据中了解到,仅春节期间,在我国7亿+工作人口中,就有超过3亿远程办公人员,这个比例放之全球也是只多不少。甚至,我们预测,2024-2025年全球将有1.23亿人步入远程办公。
这种互联网刚需、高流量、to B带来的巨大诱惑,带动了各个远程办公软件兴起或繁荣发展。但是,Zoom、WebEx已经向我们释放了一个危险信号:被提前引爆的远程办公,将在很长一段时间内成为网络攻击者炮火集中的首要目标。
很显然,已经为人鱼肉的各大远程办公软件并没有意识到这一点,以Zoom、WebEx为首的多数软件没有做好准备,以至于成为攻击者最先锁定的攻击对象。
最后,零日要提醒大家的是,在真正的战场上,攻击者从不会等你。
零日反思
额外思考一个问题,为什么是Zoom、WebEx相继成为攻击者收割的第一波目标?说到这,不知道大家注意到没有,本文开篇在介绍这两家时的用词:“全球知名”、“世界头号”的远程办公软件,这很好理解,蹲在远程办公隐蔽处的攻击者,要的就是擒贼先擒王。
在这个网络安全考场中,不知道下一个中招的公司又是哪个?
零日情报局作品
微信公众号:lingriqingbaoju
如需转载,请后台留言
欢迎分享朋友圈
参考资料:
[1] Cofense《新的网络钓鱼活动欺骗WebEx锁定远程工作者》
来源:freebuf.com 2020-04-13 20:21:06 by: 0day情报局
请登录后发表评论
注册