信息化觀(guān)察網(wǎng)

2019年年末，一種無(wú)需盜取賬戶(hù)密碼就能訪(fǎng)問(wèn)用戶(hù)云端所存數(shù)據(jù)的網(wǎng)絡(luò)釣魚(yú)戰(zhàn)術(shù)復(fù)蘇。

實(shí)施這種網(wǎng)絡(luò)釣魚(yú)戰(zhàn)術(shù)時(shí)，攻擊者會(huì)先向用戶(hù)發(fā)送一個(gè)誘餌鏈接，鏈接指向云端電子郵件和/或文件存儲(chǔ)服務(wù)的真實(shí)登陸頁(yè)面。上鉤的受害者將不可避免地向攻擊者奉上數(shù)字令牌，交出自身電子郵件、文件和聯(lián)系人的無(wú)限訪(fǎng)問(wèn)權(quán)，且即便此后修改了密碼，攻擊者仍可訪(fǎng)問(wèn)這些數(shù)字資產(chǎn)。

在深入細(xì)節(jié)之前，我們有必要認(rèn)清兩個(gè)重要事實(shí)。首先，盡管此隱秘網(wǎng)絡(luò)釣魚(yú)的最新版本主要針對(duì)微軟Office 365服務(wù)的企業(yè)用戶(hù)，但很多其他云供應(yīng)商的用戶(hù)同樣會(huì)被這種方法釣中。其次，該攻擊不是什么新鮮玩意兒：2017年時(shí)，網(wǎng)絡(luò)釣魚(yú)攻擊者就曾用過(guò)類(lèi)似的技術(shù)劫掠谷歌Gmail服務(wù)賬戶(hù)。

但這種網(wǎng)絡(luò)釣魚(yú)戰(zhàn)術(shù)仍然值得關(guān)注，因?yàn)樽钚碌墓舭咐⑽传@得太多媒體報(bào)道。

而且，被盜取的訪(fǎng)問(wèn)憑證是長(zhǎng)期的，攻擊者還能繞過(guò)雙因子身份驗(yàn)證，未來(lái)我們或?qū)⒁?jiàn)證該方法被更多攻擊者使用。

去年12月初，PhishLabs的安全專(zhuān)家詳細(xì)描述了一種復(fù)雜的網(wǎng)絡(luò)釣魚(yú)攻擊方法。該方法針對(duì)Office 365用戶(hù)，所用惡意鏈接可誘騙用戶(hù)點(diǎn)擊進(jìn)入Office 365官方登錄頁(yè)面login.microsoftonline.com。對(duì)此鏈接存有疑慮的用戶(hù)不會(huì)在瀏覽器地址欄看出任何不妥，也能驗(yàn)證此鏈接確實(shí)通向微軟真正的登錄頁(yè)面：

該網(wǎng)絡(luò)釣魚(yú)鏈接讓用戶(hù)在微軟真正的Office 365門(mén)戶(hù)(login.microsoftonline.com)登錄

只有復(fù)制粘貼此鏈接，或者光標(biāo)右移到地址欄末尾，用戶(hù)才會(huì)發(fā)現(xiàn)蹊蹺之處：

注意URL的這個(gè)部分（頁(yè)面外，光標(biāo)右移很遠(yuǎn)才能看到），此處嘗試授權(quán)officesuited.com上托管的一個(gè)惡意應(yīng)用，賦予該惡意應(yīng)用讀取受害者存于微軟Office 365服務(wù)中所有電子郵件和文件的權(quán)限。

如上圖所示，此鏈接讓微軟轉(zhuǎn)發(fā)成功登錄officesuited.com域名所產(chǎn)生的授權(quán)令牌。用戶(hù)此時(shí)會(huì)看到一個(gè)彈出窗口，提示有應(yīng)用請(qǐng)求用戶(hù)電子郵件、聯(lián)系人、OneNote筆記和文件的讀取權(quán)限，索要電子郵箱設(shè)置的讀寫(xiě)權(quán)限和登錄服務(wù)及讀取個(gè)人資料的權(quán)限，并要求保持對(duì)這些數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)。

圖源：PhishLabs

PhishLabs指出，產(chǎn)生此請(qǐng)求的應(yīng)用是利用合法公司此前被盜的信息創(chuàng)建的。托管上圖中惡意應(yīng)用的域名——officemtr.com，與去年12月份的那個(gè)不同，但其互聯(lián)網(wǎng)地址均為officesuited.com，且似乎都是用同一個(gè)合法公司的憑證簽名的。

PhishLabs稱(chēng)，攻擊者利用的是Outlook名為“加載項(xiàng)(add-ins)”的功能——加載項(xiàng)是由第三方開(kāi)發(fā)者創(chuàng)建的應(yīng)用程序，可通過(guò)文件或Office Store URL安裝。

PhishLabs的Michael Tyler寫(xiě)道：“默認(rèn)設(shè)置下，任何用戶(hù)都能向outlook應(yīng)用程序添加加載項(xiàng)。而且，微軟允許Office 365加載項(xiàng)和應(yīng)用通過(guò)側(cè)加載的方式安裝，不用經(jīng)過(guò)Office Store，因而可以規(guī)避掉審查過(guò)程。”

接受KrebsOnSecurity的采訪(fǎng)時(shí)，Tyler表示，他將此攻擊方法視為惡意軟件而非傳統(tǒng)網(wǎng)絡(luò)釣魚(yú)，因?yàn)樵摴舴绞讲⒉幌駛鹘y(tǒng)網(wǎng)絡(luò)釣魚(yú)一樣試圖誘騙用戶(hù)交出自己的密碼。

“個(gè)中區(qū)別就在于，這種方式不要求用戶(hù)給出訪(fǎng)問(wèn)憑證，而是讓外部應(yīng)用直接與用戶(hù)的Office 365環(huán)境交互。”

很多讀者看到此處可能會(huì)覺(jué)得，“這種惡意應(yīng)用請(qǐng)求的強(qiáng)大權(quán)限，我肯定會(huì)在授權(quán)前猶豫一下的”。但Tyler表示，這是在假定用戶(hù)某種程度上知道此交易中涉及惡意第三方的情況下。

他說(shuō)：“網(wǎng)絡(luò)釣魚(yú)長(zhǎng)盛不衰的原因，是人們總在做出不應(yīng)該做出，或者不應(yīng)該能夠做出的決定。接受過(guò)安全培訓(xùn)的員工都知道，在輸入登錄憑證前要確定網(wǎng)址是合法的。但此攻擊中，網(wǎng)址合法的。于是，戒心放下，成功中招?？吹竭@種攻擊，我就在想，我是更容易在輸入框中敲進(jìn)自己的密碼呢，還是更容易點(diǎn)擊標(biāo)著‘確定’的按鈕呢？”

該攻擊的恐怖之處在于：

一旦用戶(hù)授權(quán)該惡意應(yīng)用讀取自己的文件和電子郵件，攻擊者就能保持對(duì)該賬戶(hù)的訪(fǎng)問(wèn)權(quán)，甚至在用戶(hù)修改了密碼之后都可以訪(fǎng)問(wèn)。

Tyler補(bǔ)充道，從普通用戶(hù)的層面上是看不到這個(gè)以加載項(xiàng)的名義安裝的惡意應(yīng)用的；只有負(fù)責(zé)管理用戶(hù)賬戶(hù)的系統(tǒng)管理員才可以看到該應(yīng)用獲得了授權(quán)。

此外，即使公司要求通過(guò)多因子身份驗(yàn)證方式登錄，我們也不得不提醒讀者注意：此網(wǎng)絡(luò)釣魚(yú)的登錄過(guò)程可是在微軟自己的網(wǎng)站上發(fā)生的。這意味著，即便啟用賬戶(hù)雙因子身份驗(yàn)證，也阻止不了已獲用戶(hù)授權(quán)訪(fǎng)問(wèn)其電子郵件或文件的惡意應(yīng)用。

一旦獲準(zhǔn)訪(fǎng)問(wèn)用戶(hù)的電子郵件和文件，此應(yīng)用就能維持此訪(fǎng)問(wèn)授權(quán)，除非：微軟發(fā)現(xiàn)并禁用了該惡意應(yīng)用，或者受害用戶(hù)域名的管理員從用戶(hù)賬戶(hù)中清除了該惡意程序。

然而，期待微軟立即采取行動(dòng)并不現(xiàn)實(shí)：通過(guò)測(cè)試可知，微軟大約是在12月19日左右才禁用了officesuited[.]com提供的這個(gè)惡意應(yīng)用——此時(shí)距離此惡意應(yīng)用上線(xiàn)已經(jīng)一周了。

安全博客KrebsOnSecurity上的一份聲明中，微軟高級(jí)總監(jiān)Jeff Jones稱(chēng)，微軟持續(xù)監(jiān)視該惡意活動(dòng)的潛在新變種，將在發(fā)現(xiàn)新變種時(shí)采取行動(dòng)禁用這些應(yīng)用。

Jones稱(chēng)，此技術(shù)依賴(lài)一種復(fù)雜的網(wǎng)絡(luò)釣魚(yú)攻擊，需誘使用戶(hù)授權(quán)惡意Azure AD應(yīng)用程序。微軟已通知受影響的客戶(hù)，并與客戶(hù)協(xié)作修復(fù)他們的環(huán)境。

微軟表示，管理員可以啟用阻止用戶(hù)在Office 365中安裝第三方應(yīng)用的設(shè)置，但這是比較“激進(jìn)的做法”，“大大有損用戶(hù)通過(guò)第三方應(yīng)用提高效率的能力，因而極不推薦此種做法。”

PhishLabs的Tyler對(duì)微軟的指南嗤之以鼻，鼓勵(lì)Office 365管理員完全阻止用戶(hù)安裝應(yīng)用，或者至少限制用戶(hù)只能從微軟官方應(yīng)用商店安裝。

除此之外，Tyler還表示，Office 365管理員應(yīng)定期檢查自身Office 365環(huán)境中有無(wú)惡意應(yīng)用。

他說(shuō)：“如果公司淪為此種攻擊的受害者，傳統(tǒng)根除方法無(wú)外乎激活雙因子身份驗(yàn)證、清除用戶(hù)會(huì)話(huà)等等，但這些統(tǒng)統(tǒng)無(wú)濟(jì)于事。響應(yīng)團(tuán)隊(duì)理應(yīng)知道這種戰(zhàn)術(shù)，從而找出問(wèn)題所在。如果你無(wú)法或不想這么做，那至少要確保開(kāi)啟了安全日志，在有人往公司基礎(chǔ)設(shè)施中引入新軟件時(shí)會(huì)觸發(fā)告警。”