记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

使用Azure Blob存储服务来仿冒微软进行的钓鱼攻击

2018-10-11 12:20

尽管网络钓鱼攻击非常隐蔽,但是用户还是能注意到登录表单是否是安全的,或者SSL证书是否被模拟了。新的Office 365网络钓鱼攻击利用一种有趣的方法来存储Azure Blob存储上托管的网络钓鱼表单,以便通过Microsoft SSL证书进行保护。

Azure Blob存储是一种Microsoft存储解决方案,可用于存储非结构化数据,如图像,视频或文本。Azure Blob存储的一个优点是可以使用HTTP和HTTPS访问,并且在通过HTTPS连接时,将显示来自Microsoft的签名SSL证书。

通过在Azure Blob存储中存储网络钓鱼表单。显示的表单将由Microsoft的SSL证书签名,这也使其成为了创建针对Microsoft服务(如Office 365,Azure AD或其他Microsoft登录)的网络钓鱼表单的理想方法。

网络钓鱼攻击使用Azure blob存储来模拟Microsoft托管网络钓鱼表单,是Netskope最近发现的一种攻击云端的类型。在这次攻击中,攻击者正在发送带有PDF附件的垃圾邮件,这些附件会伪装成来自丹佛的一家律师事务所的邮件。

这些伪造的附件通常会被命名为“Scanned Document … Please Review.pdf”,且只包含一个下载按钮,用于下载假冒的PDF。

当用户单击此链接时,他们将被重定向到一个HTML页面,伪装成是存储在Microsoft Azure Blob存储解决方案中的Office 365登录表单。请注意URL https://onedriveunbound80343.blob.core.windows.net是如何将它伪造成一个blob的。由于此页面也托管在Microsoft服务上,因此它也可以成为安全的SSL站点。

对于那些对奇怪的URL持怀疑态度的用户来说,如果他们觉得证书有问题想要检查一下,就会看到这个页面是由Microsoft IT TLS CA 5颁发的SSL证书签署的。

由于这是一个伪造的Office 365登录,并且该站点使用Microsoft SSL证书进行保护,因此许多人可能都误认为这是合法的登录表单。

一旦用户在这些表单中输入他们的信息,表单将把这些内容提交给攻击者控制的服务器。

提交表单后,页面将伪造成要准备下载文档的样子,但最终却将用户重定向到https://products.office.com/en-us/sharepoint/collaboration Microsoft站点。

由于URL非常奇怪,许多有经验的用户可能不会因此而受到攻击,但普通用户就不一定了,因为该页面使用了Microsoft的证书,因此很多人认为它是安全的。

为了更好的保护用户免受这些不断演变的钓鱼类型的威胁,Netskope建议用户要识别非标准的网页地址。用户应该识别AWS,Azure和GCP对象存储网址,这样他们就可以从官方网站上识别网络钓鱼网站了。

本文翻译自:https://www.bleepingcomputer.com/news/security/phishing-attack-uses-azure-blob-storage-to-impersonate-microsoft/如若转载,请注明原文地址: http://www.hackdig.com/10/hack-53150.htm
知识来源: www.4hou.com/web/13910.html

阅读:61764 | 评论:0 | 标签:Web安全 钓鱼攻击

想收藏或者和大家分享这篇好文章→复制链接地址

“使用Azure Blob存储服务来仿冒微软进行的钓鱼攻击”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云