大家好，我是 零日情報局。

本文首發於公眾號 零日情報局，微信ID：lingriqingbaoju。

全球蔓延的新冠疫情加劇遠端辦公需求，就在人們享受著遠端辦公軟體帶來的便利時——Zoom，全球知名的雲視訊會議軟體，爆雷了。

開年3個月新增1.9億使用者，股價大漲130%，就連Zoom自己也沒想到，原本前景大好的態勢，因頻頻爆發的隱私安全問題和漏洞涼了下來。

比如，因為Zoom會議ID過短，任何人都可以隨機加入或攪亂視訊會議，包括黑客和網路噴子，大量“ Zoombombing”造成會議崩潰之類的事件普遍發生；還有一系列安全漏洞的曝光，導致約15000個Zoom使用者私密視訊被上傳至公開網站……

隨後，世界頭號網路會議供應商，Cisco旗下的線上會議軟體“WebEx”，於4月8日，被Cofense網路釣魚防禦中心曝出相關釣魚活動，WebEx使用者成了新一茬“韭菜”。

Zoom、WebEx這些遠端辦公軟體相繼爆雷，早在遠端辦公這股風暴席捲全球時，網路攻擊者就已經站在了風裡。

網路釣魚者為WebEx使用者設下四重陷阱

鐵打的網路攻擊，流水的攻擊物件，這一次輪到了WebEx。

根據Cofense網路釣魚防禦中心發現的釣魚活動，有攻擊者蹭上了遠端辦公熱點，偽造WebEx安全警告的釣魚郵件（且釣魚郵件未被思科郵件防火牆捕獲），藉此誘導使用者通過釣魚連結進行“更新”，試圖竊取WebEx憑據，以訪問網路電話會議並盜取參與者共享的敏感檔案和資料。

今時不同往日，在這個釣魚郵件滿天飛的特殊時期，能一邊躲過各大安全廠商的圍追截堵，一邊騙過受過多次教育的使用者，這次釣魚攻擊有何高明之處？

真實，這是釣魚攻擊成功的唯一核心要素。整個釣魚過程太逼真了！即使是看慣了高仿貨的人，也難免會因為看走眼，栽在精仿貨的身上。通過還原本次釣魚活動，零日總結出了攻擊者設下的四個陷阱，下面讓我們一起真實感受下這次釣魚攻擊的模擬程度。

在整個攻擊過程中，攻擊者傳送了一封主題為“安全警報”的電子郵件，內含欺騙性的地址“meetings [@] webex [。] com”，誘使使用者繼續操作，這一點沒什麼特別之處。

陷阱一：逼真的高危漏洞警告

電子郵件內容說明使用者存在一個必須修補的高風險漏洞，該漏洞必須允許未經身份驗證的使用者安裝“在系統上具有高特權的Docker容器”。攻擊者用真實內容解釋完該漏洞問題後，甚至連結了該漏洞的合法文章，郵件內容中的漏洞編號“CVE-2016-9223”文字，直接連結了該文章URL：hxxps：// cve [。] mitre [。] org / cgi-bin / cvename.cgi？name = CVE-2016-9223。

相信我，大多數具有安全意識的使用者，都會按照電子郵件中的說明進行操作，選擇立即“更新”。

陷阱二：以假亂真的URL連結

即使還有更謹慎的使用者心存疑慮也無濟於事，攻擊者還精心設計了郵件“加入（安裝/更新）”按鈕嵌入的URL： hxxps：//globalpagee-prod-webex [。] com / signin；合法的Cisco WebEx URL為：hxxps：//globalpage-prod [。] webex [。]com / signin。

乍一看，這兩個URL看起來非常相似，但是仔細觀察，發現攻擊者在“ globalpage”中新增了一個額外的“ e”。同樣，惡意連結不是“ prod.webex”，而是“ prod-webex”。

陷阱三：為欺詐域名申請SSL證書

更為狡猾的是，攻擊者在進行攻擊前就已經通過Public Domain Registry註冊了一個欺詐域名，甚至可以為自己的欺詐域名申請SSL證書，從而獲得終端使用者的進一步信任。

官方的Cisco證書是通過HydrantID驗證的，而攻擊者的證書是通過Sectigo Limited驗證的。無論誰驗證了攻擊者的證書，結果都是相同的：一個鎖出現在URL的左側。

使用者重定向到的網路釣魚頁面與合法的Cisco WebEx登入頁面相同，在視覺上沒有區別。

陷阱四：將使用者定向到官網以證明合法性

即使在使用者提供WebEx憑據後，攻擊者也沒有掉以輕心，繼續將使用者導流到Cisco官方網站以下載WebEx。這足以說服大多數使用者相信，這次更新WebEx應用程式是合法的。

高真實度的陷阱與釣魚過程環環相扣，成功的釣魚攻擊背後，沒有一個步驟是無辜的。

遠端辦公頻繁爆雷

成為當前網路攻擊猛攻目標

話說回來，Zoom、WebEx爆雷的根源還是遠端辦公。迅速崛起的遠端辦公需求，為網路攻擊者提供了一個新的攻擊思路。

零日從公開資料中瞭解到，僅春節期間，在我國7億+工作人口中，就有超過3億遠端辦公人員，這個比例放之全球也是隻多不少。甚至，我們預測，2024-2025年全球將有1.23億人步入遠端辦公。

這種網際網路剛需、高流量、to B帶來的巨大誘惑，帶動了各個遠端辦公軟體興起或繁榮發展。但是，Zoom、WebEx已經向我們釋放了一個危險訊號：被提前引爆的遠端辦公，將在很長一段時間內成為網路攻擊者炮火集中的首要目標。

很顯然，已經為人魚肉的各大遠端辦公軟體並沒有意識到這一點，以Zoom、WebEx為首的多數軟體沒有做好準備，以至於成為攻擊者最先鎖定的攻擊物件。

最後，零日要提醒大家的是，在真正的戰場上，攻擊者從不會等你。

零日反思

額外思考一個問題，為什麼是Zoom、WebEx相繼成為攻擊者收割的第一波目標？說到這，不知道大家注意到沒有，本文開篇在介紹這兩家時的用詞：“全球知名”、“世界頭號”的遠端辦公軟體，這很好理解，蹲在遠端辦公隱蔽處的攻擊者，要的就是擒賊先擒王。

在這個網路安全考場中，不知道下一個中招的公司又是哪個？

零日情報局作品

微信公眾號：lingriqingbaoju

如需轉載，請後臺留言

歡迎分享朋友圈

參考資料：

[1] Cofense《新的網路釣魚活動欺騙WebEx鎖定遠端工作者》