导语:新的Office 365网络钓鱼攻击利用一种有趣的方法来存储Azure Blob存储上托管的网络钓鱼表单,以便通过Microsoft SSL证书进行保护。
尽管网络钓鱼攻击非常隐蔽,但是用户还是能注意到登录表单是否是安全的,或者SSL证书是否被模拟了。新的Office 365网络钓鱼攻击利用一种有趣的方法来存储Azure Blob存储上托管的网络钓鱼表单,以便通过Microsoft SSL证书进行保护。
Azure Blob存储是一种Microsoft存储解决方案,可用于存储非结构化数据,如图像,视频或文本。Azure Blob存储的一个优点是可以使用HTTP和HTTPS访问,并且在通过HTTPS连接时,将显示来自Microsoft的签名SSL证书。
通过在Azure Blob存储中存储网络钓鱼表单。显示的表单将由Microsoft的SSL证书签名,这也使其成为了创建针对Microsoft服务(如Office 365,Azure AD或其他Microsoft登录)的网络钓鱼表单的理想方法。
网络钓鱼攻击使用Azure blob存储来模拟Microsoft托管网络钓鱼表单,是Netskope最近发现的一种攻击云端的类型。在这次攻击中,攻击者正在发送带有PDF附件的垃圾邮件,这些附件会伪装成来自丹佛的一家律师事务所的邮件。
这些伪造的附件通常会被命名为“Scanned Document … Please Review.pdf”,且只包含一个下载按钮,用于下载假冒的PDF。
当用户单击此链接时,他们将被重定向到一个HTML页面,伪装成是存储在Microsoft Azure Blob存储解决方案中的Office 365登录表单。请注意URL https://onedriveunbound80343.blob.core.windows.net是如何将它伪造成一个blob的。由于此页面也托管在Microsoft服务上,因此它也可以成为安全的SSL站点。
对于那些对奇怪的URL持怀疑态度的用户来说,如果他们觉得证书有问题想要检查一下,就会看到这个页面是由Microsoft IT TLS CA 5颁发的SSL证书签署的。
由于这是一个伪造的Office 365登录,并且该站点使用Microsoft SSL证书进行保护,因此许多人可能都误认为这是合法的登录表单。
一旦用户在这些表单中输入他们的信息,表单将把这些内容提交给攻击者控制的服务器。
提交表单后,页面将伪造成要准备下载文档的样子,但最终却将用户重定向到https://products.office.com/en-us/sharepoint/collaboration Microsoft站点。
由于URL非常奇怪,许多有经验的用户可能不会因此而受到攻击,但普通用户就不一定了,因为该页面使用了Microsoft的证书,因此很多人认为它是安全的。
为了更好的保护用户免受这些不断演变的钓鱼类型的威胁,Netskope建议用户要识别非标准的网页地址。用户应该识别AWS,Azure和GCP对象存储网址,这样他们就可以从官方网站上识别网络钓鱼网站了。