Новости Мошенники злоупотребляют Google App Engine для создания фишинговых страниц

Ахилл

Профессионал
Ветеран пробива
Private Club
Старожил
Меценат
Регистрация
27/7/18
Сообщения
3.809
Репутация
15.331
Реакции
23.545
RUB
0
Сделок через гаранта
16
Новый способ создания фишинговых страниц позволяет избежать блокировки, основанной на индикаторах взлома.

Исследователь безопасности Марсель Афрахим продемонстрировал способ, с помощью которого можно злоупотреблять службой хостинга сайтов и web-приложений Google App Engine для создания неограниченного количества фишинговых страниц, оставаясь при этом незамеченным.

Обычно мошенники используют облачные сервисы для создания вредоносного приложения, которому назначается поддомен. Затем они размещают там фишинговые страницы или могут использовать приложение в качестве C&C-сервера для доставки вредоносного ПО.

Но структуры URL-адресов обычно создаются таким образом, чтобы их можно было легко отслеживать и блокировать с помощью продуктов корпоративной безопасности. Таким образом, ИБ-специалист может блокировать трафик к конкретному приложению, просто блокируя запросы к определенному поддомену и от него.

Однако в случае с Google App Engine ситуация немного другая. Домен Google appspot.com, на котором размещены приложения, имеет следующую структуру URL — «VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com». В этом случае поддомен представляет собой не только приложение, но и поля версии приложения, имени службы, идентификатора проекта и идентификатора региона.

Если какое-либо из данных полей является неверным, Google App Engine не будет отображать страницу «404 Not Found», а вместо этого покажет страницу приложения по умолчанию.

Существует множество настроек поддоменов, позволяющих получить доступ к вредоносному приложению злоумышленника. Пока у каждого поддомена есть действительное поле «project_ID», недействительные варианты других полей могут использоваться по усмотрению злоумышленника для создания длинного списка поддоменов, которые все ведут к одному и тому же приложению.

Например, как продемонстрировал Афрахим, оба приведенных ниже URL-адреса, которые выглядят совершенно по-разному, представляют одно и то же приложение, размещенное на Google App Engine.
  • https[:]//random123-random123-random123-dot-bad-app-2020.ue.r.appspot
  • https[:]//insertanythingyouwanthere-xyz123-xyz123-dot-bad-app-2020.ue.r.appspot
Кроме того, большое количество вариантов поддоменов делает бесполезным подход к блокировке, основанный на индикаторах взлома.
 
Сверху Снизу