«… ты приходишь и просишь что-то у меня, но ты просишь без уважения …»
Вито Корлеоне

Фишинг все еще самый популярный и самый успешный тип хакерских атак. Все просто, атакуются не софт, не сервера, не сети, а самые уязвимые компоненты информационных систем – пользователи. Я часто встречаюсь с фишингом, как единичными, направленным на личные адреса, так и массовыми атаками. В большинстве случаев это неумело составленные письма и коряво сварганенные фишинг страницы. До недавнего времени большинство таких атак срывалось уже на уровне пользователей: письма или сразу игнорировались (так как признаки фишинга были очень явными) или, в худшем случае, письма перенаправлялись в службу поддержки с вопросом «безопасно ли вводить пароль на этой странице?». Конечно, какая-то часть пользователей все-таки попадалась, но в процентном соотношении это был реально минимум. Но буквально на прошлой неделе я столкнулся с фишинг атакой, уровень которой меня удивил. Я провел небольшой анализ, и выяснил как именно она была организована и какие инструменты были при этом использованы.

Надеюсь, это не будет выглядеть как инструкции для подготовки фишинг атак, на самом деле, цель статьи – рассказать о конкретном случае из практики. Я также поделюсь результатами небольшого анализа действий злоумышленников.

Phishing page

Последовательность соблюдать не буду (как уже говорилось, это не руководство к действию), и начну с того, что меня удивило больше всего, а именно поддельная страница, куда направлялись жертвы атаки. Страница была точной копией ADFS страницы жертвы. Кроме визуальной схожести, страница была на домене того же уровня и URL отличалась только одной буквой: реальный адрес ADFS портала был

https://login.contoso.ch/

, адрес фишинг страницы —

https://login.contoso.cf/

(здесь и далее — название фирмы заменено на contoso). И да, протокол совпадал, фишинговая страница использовала SSL с полноценным сертификатом от COMODO!.. Конечно, без Extended Validation, но тем не менее, Chrome отображал адрес «зелененьким».

«Расследование»

Как же так? Совсем глупые «хакеры»! Домены второго уровня и сертификаты COMODO кому попало не дают, их будет легко вычислить! Но это на первый взгляд…

Домен

Google подсказал, что .cf домены раздают бесплатно. В данном случае важна не цена, а возможность приобрести домен, не оставляя следов в виде кредитной карты (или другого способа оплаты). То есть, обычного (левого) адреса электронной почты более чем достаточно. Один из регистраторов, Freenom, помимо cf, предлагает еще и tk, ml, ga. Единственное неудобство, при регистрации не получается указать некоторые адреса бесплатной электронной почты (mail.ru, yandex.ru, yahoo.com) но с большинством других адресов зарегистрировать домен удается.

Электронная почта

Какой почтой пользовался наш фишер для регистрации домена мы узнать не смогли, так как whois server выдал такое сообщение: «Due to restrictions in [] Privacy Statement personal information about the user of the domain name cannot be released». Однако, можно предположить, что protonmail, так как сами фишинг сообщения отправлялись с помощью этого сервиса. Это не удивительно, так как на protonmail можно зарегистрироваться абсолютно анонимно, и, даже если привлечь соответствующие органы для расследования, заставить protonmail сотрудничать, как показывает практика, будет не так-то просто.

SSL сертификат и хостинг

До этого случая мы наивно полагали что поднять web сервер с валидным ssl сертификатом от COMODO, не оставив никаких следов, невозможно. Как оказалось, это не так. В нашем случае атакующие воспользовались Cloudflare. Небольшой анализ предлагаемых функций бесплатного пакета от Cloudflare выявил кладезь возможностей для фишинга:
— Полностью анонимная регистрация. Адреса почты (от того же protonmail) более чем достаточно. Теоретически, они могут выяснить с какого IP адреса была регистрация/вход, но я более чем уверен, что наши злоумышленники с легкостью могли скрыть реальный адрес.
— Бесплатный сертификат от COMODO. Он не только бесплатный, но и выдается за несколько минут без какой-либо дополнительной проверки.
— Скрытие реального IP адреса веб-сервера. Весь трафик идет через Cloudflare (это в первую очередь CDN-сервис)
— SSL offloading. Реальный веб сервер может работать и по незащищенному http, с применением Cloudflare весь трафик пойдет через SSL. Это важно потому что, бесплатный хостинг с HTTP найти реально, а за хостинг с поддержкой SSL надо платить (оставляя следы).

И еще один факт: за редкими исключениями, CA сервисы на домены ga, cf, tk сертификаты не подписывают. В этом случае (даже если вы не фишер) Cloudflare проблему решает, через них сертификат выдается без проблем.

Unvalidated Redirects на службе у Phishing

Теперь самое интересное. В фишинг письме, которое само по себе представляло шедевр социальной инженерии, естественно, была ссылка, но не на фишинг страницу. Ссылка была на сайт компании, на страницу с уязвимостью типа Unvalidated Redirects. Это, возможно, было одной из причин того что письмо прошло все анти-спам фильтры, в письме на адрес user@contoso.ch была единственная ссылка на

http://contoso.ch/vulnerable.php?url=https://login.contoso.cf/

Реально ли их найти?

Без сомнения, сами мы их найти не сможем. Смогут ли их найти «органы»? Можно попробовать запросить данные у регистратора или у Cloudflare и выйти на тот же protonmail. Если они и пойдут на сотрудничество, максимум что можно получить – это IP адрес. Можно ли по IP адресу «вычислить» преступника? Я в этом сомневаюсь.

Итог

Мы не знаем какое количество пользователей «купилось» — сами признаваться не будут. На всякий случай, мы посоветовали всем поменять пароли AD. Самой компании было настоятельно рекомендовано включить двухфакторную авторизацию на ADFS c помощью Custom Authentication.

P.S. И еще, я не уверен, что я бы сам не повелся на это – уровень меня впечатлил.