大家好,我是 零日情報局。
本文首發於公眾號 零日情報局,微信ID:lingriqingbaoju。
全球蔓延的新冠疫情加劇遠端辦公需求,就在人們享受著遠端辦公軟體帶來的便利時——Zoom,全球知名的雲視訊會議軟體,爆雷了。
開年3個月新增1.9億使用者,股價大漲130%,就連Zoom自己也沒想到,原本前景大好的態勢,因頻頻爆發的隱私安全問題和漏洞涼了下來。
比如,因為Zoom會議ID過短,任何人都可以隨機加入或攪亂視訊會議,包括駭客和網路噴子,大量“ Zoombombing”造成會議崩潰之類的事件普遍發生;還有一系列安全漏洞的曝光,導致約15000個Zoom使用者私密影片被上傳至公開網站……
隨後,世界頭號網路會議供應商,Cisco旗下的線上會議軟體“WebEx”,於4月8日,被Cofense網路釣魚防禦中心曝出相關釣魚活動,WebEx使用者成了新一茬“韭菜”。
Zoom、WebEx這些遠端辦公軟體相繼爆雷,早在遠端辦公這股風暴席捲全球時,網路攻擊者就已經站在了風裡。
網路釣魚者為WebEx使用者設下四重陷阱
鐵打的網路攻擊,流水的攻擊物件,這一次輪到了WebEx。
根據Cofense網路釣魚防禦中心發現的釣魚活動,有攻擊者蹭上了遠端辦公熱點,偽造WebEx安全警告的釣魚郵件(且釣魚郵件未被思科郵件防火牆捕獲),藉此誘導使用者透過釣魚連結進行“更新”,試圖竊取WebEx憑據,以訪問網路電話會議並盜取參與者共享的敏感檔案和資料。
今時不同往日,在這個釣魚郵件滿天飛的特殊時期,能一邊躲過各大安全廠商的圍追截堵,一邊騙過受過多次教育的使用者,這次釣魚攻擊有何高明之處?
真實,這是釣魚攻擊成功的唯一核心要素。整個釣魚過程太逼真了!即使是看慣了高仿貨的人,也難免會因為看走眼,栽在精仿貨的身上。透過還原本次釣魚活動,零日總結出了攻擊者設下的四個陷阱,下面讓我們一起真實感受下這次釣魚攻擊的模擬程度。
在整個攻擊過程中,攻擊者傳送了一封主題為“安全警報”的電子郵件,內含欺騙性的地址“meetings [@] webex [。] com”,誘使使用者繼續操作,這一點沒什麼特別之處。
陷阱一:逼真的高危漏洞警告
電子郵件內容說明使用者存在一個必須修補的高風險漏洞,該漏洞必須允許未經身份驗證的使用者安裝“在系統上具有高特權的Docker容器”。攻擊者用真實內容解釋完該漏洞問題後,甚至連結了該漏洞的合法文章,郵件內容中的漏洞編號“CVE-2016-9223”文字,直接連結了該文章URL:hxxps:// cve [。] mitre [。] org / cgi-bin / cvename.cgi?name = CVE-2016-9223。
相信我,大多數具有安全意識的使用者,都會按照電子郵件中的說明進行操作,選擇立即“更新”。
陷阱二:以假亂真的URL連結
即使還有更謹慎的使用者心存疑慮也無濟於事,攻擊者還精心設計了郵件“加入(安裝/更新)”按鈕嵌入的URL: hxxps://globalpagee-prod-webex [。] com / signin;合法的Cisco WebEx URL為:hxxps://globalpage-prod [。] webex [。]com / signin。
乍一看,這兩個URL看起來非常相似,但是仔細觀察,發現攻擊者在“ globalpage”中新增了一個額外的“ e”。同樣,惡意連結不是“ prod.webex”,而是“ prod-webex”。
陷阱三:為欺詐域名申請SSL證書
更為狡猾的是,攻擊者在進行攻擊前就已經透過Public Domain Registry註冊了一個欺詐域名,甚至可以為自己的欺詐域名申請SSL證書,從而獲得終端使用者的進一步信任。
官方的Cisco證書是透過HydrantID驗證的,而攻擊者的證書是透過Sectigo Limited驗證的。無論誰驗證了攻擊者的證書,結果都是相同的:一個鎖出現在URL的左側。
使用者重定向到的網路釣魚頁面與合法的Cisco WebEx登入頁面相同,在視覺上沒有區別。
陷阱四:將使用者定向到官網以證明合法性
即使在使用者提供WebEx憑據後,攻擊者也沒有掉以輕心,繼續將使用者導流到Cisco官方網站以下載WebEx。這足以說服大多數使用者相信,這次更新WebEx應用程式是合法的。
高真實度的陷阱與釣魚過程環環相扣,成功的釣魚攻擊背後,沒有一個步驟是無辜的。
遠端辦公頻繁爆雷
成為當前網路攻擊猛攻目標
話說回來,Zoom、WebEx爆雷的根源還是遠端辦公。迅速崛起的遠端辦公需求,為網路攻擊者提供了一個新的攻擊思路。
零日從公開資料中瞭解到,僅春節期間,在我國7億+工作人口中,就有超過3億遠端辦公人員,這個比例放之全球也是隻多不少。甚至,我們預測,2024-2025年全球將有1.23億人步入遠端辦公。
這種網際網路剛需、高流量、to B帶來的巨大誘惑,帶動了各個遠端辦公軟體興起或繁榮發展。但是,Zoom、WebEx已經向我們釋放了一個危險訊號:被提前引爆的遠端辦公,將在很長一段時間內成為網路攻擊者炮火集中的首要目標。
很顯然,已經為人魚肉的各大遠端辦公軟體並沒有意識到這一點,以Zoom、WebEx為首的多數軟體沒有做好準備,以至於成為攻擊者最先鎖定的攻擊物件。
最後,零日要提醒大家的是,在真正的戰場上,攻擊者從不會等你。
零日反思
額外思考一個問題,為什麼是Zoom、WebEx相繼成為攻擊者收割的第一波目標?說到這,不知道大家注意到沒有,本文開篇在介紹這兩家時的用詞:“全球知名”、“世界頭號”的遠端辦公軟體,這很好理解,蹲在遠端辦公隱蔽處的攻擊者,要的就是擒賊先擒王。
在這個網路安全考場中,不知道下一個中招的公司又是哪個?
零日情報局作品
微信公眾號:lingriqingbaoju
如需轉載,請後臺留言
歡迎分享朋友圈
參考資料:
[1] Cofense《新的網路釣魚活動欺騙WebEx鎖定遠端工作者》