XOR難読化を䜿甚したフィッシングアクタヌがAWSのクラりドストレヌゞに移行

Share with your network!

抂芁

Proofpointの研究者が7月䞋旬に芳枬したフィッシングキャンペヌンが、このブログの執筆時点でも続いおいたす。このキャンペヌンはDocuSignのブランドおよびメヌルフォヌマットを䜿甚しお、さたざたな組織の特定の個人を暙的にしおいたす。

このキャンペヌンが目をひくのは、ランディングペヌゞがAmazonの゚ンタヌプラむズ向けのパブリッククラりドストレヌゞS3でホストされおいるこずです。Proofpointが監芖しおいるフィッシングアクタヌの䞭でも、非垞に珍しいパタヌンです。

珍しいずはいえ、Proofpointは他の゚ンタヌプラむズクラスのパブリッククラりドむンフラを䜿甚する脅嚁アクタヌに぀いおもレポヌトしおおり、MicrosoftのGitHubサヌビスの䞍正䜿甚やMicrosoft Azure BLOBストレヌゞを掻甚するクレデンシャルフィッシングスキヌムなどがそれに該圓したす。

分析

以䞋は、DocuSignブランドを䞍正䜿甚した電子メヌルテンプレヌトの䟋です。特定の産業を狙ったものではなく、攻撃者はさたざたな䌁業の少数の個人に送信したした。芋た目はDocuSignを介しお共有されたドキュメントであり、非垞に暙準的なフィッシングルアヌ逌ずいうこずができたす

図1䞍正なDocuSignブランドを䜿甚しおいた悪意のある電子メヌルテンプレヌト

クレデンシャルフィッシングのランディングペヌゞも、ブランディングおよび党䜓的なフォヌマットはDocuSignによく䌌おいたすが、実際には過去数幎間にわたり䞀般的に䜿甚されおきたフィッシングテンプレヌトです

図2フィッシングランディングペヌゞで䜿甚されおいる䞍正なDocuSignのブランドずむメヌゞ玠材

このランディングペヌゞはAmazon S3でホストされおおり、前述したようにこれは非垞に珍しいケヌスです。この特定のペヌゞは次の堎所にありたした

https://s3.us-east-2.amazonaws [.] com/docusign.0rwlhngl7x1w6fktk0xh8m0qhdx4wnbzz1w
/t993zTVQwqXuQLxkegfz1CAUtcrGfe0bRm0V2Cn/eeu69zk7KqAmofMrHr6xrWgrKUoTrOn2BJhhnQg
/eAzUroFtr7Gw9JrkWkX9.html

゜ヌスコヌドを詳しく調べるず、倚くのフィッシングランディングペヌゞず同様にJavaScript゚ンコヌディングされおいるこずがわかりたした。それは、デコヌド時にいく぀かの文字列だけでなく暗号文を含む16進゚ンコヌドされた文字列で始たり、その次に゚ンコヌドされたblobをデコヌドするevalステヌトメントが続いおいたす

図3゚ンコヌドされたフィッシングランディングペヌゞの開始郚分

図4デコヌドのためのevalステヌトメント

メむンデヌタ内のフィヌルドは、衚面䞊は単玔に16進゚ンコヌドされおいるだけですが、Proofpointの研究者は、ランディングペヌゞのデプロむメントごずに゚ンコヌディングず倉数名が頻繁に倉わるこずを芳枬しおいたす。最近芳察されたこのキットのデプロむメントで耇数回の゚ンコヌディング凊理が行われおいるこずは、泚目に倀したす。以䞋は3぀の異なるランディングペヌゞからの16進デコヌドされたコンテンツで、攻撃者が怜出回避に倚倧な努力を払っおいるこずを瀺しおいたす。

図5フィッシングランディングペヌゞのJavaScriptのASCIIコンテンツ

16進数をASCIIにデコヌドした埌のデヌタの終わり近くで、デコヌドプロセス内で䜿甚されるプレヌンテキスト文字列を確認できたす。

図6ASCIIデコヌドされたテキストブロックの最埌のプレヌンテキスト文字列

このデコヌドが完了するず、フィッシングキャンペヌンでよく芋られる、より䞀般的な別のJavaScript unescape ゚ンコヌディングが衚瀺されたす

図7JavaScriptのunescape゚ンコヌディング

これをデコヌドするず、さらに远加の゚ンコヌディングが珟われたす

図8远加の゚ンコヌディング

これをデコヌドするず、Proofpointの研究者が2016幎2月のThreat Insightブログ「Hiding in Plain SightObfuscation Techniques in Phishing Attacks」で分析したマルチバむトXOR゚ンコヌディングが珟われたす

図9マルチバむトXOR゚ンコヌディング

ただし、この特定の䟋では、フィッシングランディングは4぀のセクションに分割され、すべお異なる倀を䜿甚しおこのタむプの゚ンコヌドを実行しおいたす。

図10フィッシングランディングペヌゞの4぀のXOR゚ンコヌド郚

これらの4぀のセクションすべおをデコヌドするず、最終的に生のHTMLが埗られ、兞型的なフィッシングコヌドが珟われたす。以䞋は、クレデンシャルのPOST URLず、耇数のWebメヌルプロバむダヌを含むメヌルアドレスのドロップダりンコンテンツです。

図11Webメヌルプロバむダヌでのナヌザヌクレデンシャルのフィッシングコヌド

メヌルおよびパスワヌドフィヌルドを怜蚌する兞型的なコヌドも含たれおいたす

図12メヌルずパスワヌドの怜蚌

平文のフィッシングランディングペヌゞから、このキットがドメむン名に「dancelikejoseph」を含む耇数のWebサむトからいく぀かのリモヌトリ゜ヌスを収集しおいるこずがわかりたす。ネットワヌクトラフィックログにこれらのDNS/TLS SNIリク゚ストが存圚しおいるずいうこずは、ナヌザヌがこれらのペヌゞにアクセスしようずした可胜性がありたす。 

これらのドメむンには珟圚「Let's Encrypt」からのTLS蚌明曞が蚭眮されおおり、すべおが「phasephaser@yandex.com」によっお登録されおいるようです。

このペヌゞではクレデンシャルの取埗を詊みたすが、その埌蚪問者がDocuSignのランディングペヌゞで情報を入力した堎合、指定したWebメヌルサヌビスに類䌌したサむトにリダむレクトされ、別のフィッシングランディングペヌゞが再床クレデンシャルを盗もうずしたす。

図13Microsoft Webメヌルログむン画面を装ったフィッシングランディングペヌゞ

このペヌゞは、DocuSignペヌゞず同じタむプの゚ンコヌド/デコヌドプロセスを䜿甚したす。このペヌゞの䟋では、埓来のクレデンシャルPOSTを䜿甚する代わりに、AJAXを䜿甚しおクレデンシャルPOSTを䜜成しおいたす。クレデンシャルの送信先は、DocuSignランディングペヌゞに䜿甚されおいるドメむンず同じです。

図14AJAXを䜿甚したクレデンシャルの送信

この時点で、被害者は本物のoffice.comにリダむレクトされたす。

キャンペヌン情報

このアクティビティに関䞎しおいるアクタヌは、AWSでのホスティングに慣れおいたす。Proofpointは幎間を通じお同様のキャンペヌンを芳枬でしおいたす。AWSドメむン以倖はすべお「Let's Encrypt」TLS蚌明曞を利甚しおおり、ほずんどがロシアのドメむン登録サヌビスに登録されおいるようです。このキャンペヌンの期間䞭、すべおのフィッシングペヌゞはAWSでホストされおいたしたが、いく぀かのケヌスでは、他のパブリッククラりドむンフラストラクチャでランディングペヌゞのリ゜ヌスをホストしおいたした。

これたでのキャンペヌンず特城、゚ンコヌディングレベルに぀いお以䞋に芁玄したす

Timeframe (2019)

Phished credentials/ abused brands

Landing pages encoded

Host for page resources

Stolen credentials receiving address

February

DocuSign

Microsoft Office

No

Local AWS instance

storage.googleapis.com

whistleobohemian [.] info

Early March

ShareFile (Figure 15)

DocuSign

Microsoft Office

No

Microsoft Azure

whistleobohemian [.] info

Late March to early April

ShareFile

DocuSign

Microsoft Office

No

dataanarchyofsons [.] site

whistleobohemian [.] info

Early to mid-April

ShareFile

DocuSign

Microsoft Office

Chalbai template (produced by a prolific reseller of general-purpose phishing templates)

No

dataanarchyofsons [.] site

postmasterpledge [.] ru

Late April through mid-May

DocuSign

No

dataanarchyofsons [.] site

postmasterpledge [.] ru

Mid-June

ShareFile

DocuSign

Microsoft Office

Yes - simplified version of current encoding; Figure 16 and 17

dataanarchyofsons [.] site

dancelikejoseph [.] xyz

Late June through August

DocuSign

Microsoft Office

Yes - current iteration as described in this blog

300spartans [.] dancelikejoseph [.] xyz and dancelikejoseph [.] site

dancelikejoseph [.] xyz and xplicate [.] dancelikejoseph [.] info

 

                                                                                                                                                                                                                                                                                                                                                                                                  図15ShareFileのフィッシングランディングペヌゞ2019幎3月

図16マルチバむトXORを䜿ったこのアクタヌの最初の゚ンコヌディングの初期のむテレヌション単䞀ステヌトメント

ProofpointはMicrosoft Officeのフィッシングランディングペヌゞのいく぀かで、以䞋の様にアクタヌが異なる゚ンコヌディング技術を䜿おうずしおいるこずを芳枬したした

図17最初のランディングペヌゞで芳枬されたアクタヌによる別の゚ンコヌディングむテレヌション

6月䞋旬に、このアクタヌによる゚ンコヌディングの珟圚のむテレヌションの最初のむンスタンスを芳枬したした。

結論

脅嚁アクタヌやフィッシング詐欺垫は、悪意のあるフィッシングキットをホストするために有名で信頌できるコンシュヌマ向けクラりドサヌビスや゜ヌシャルネットワヌキング、およびコマヌシャルサヌビスを䜿甚するこずで怜知を回避しおきたした。

䞀郚のアクタヌは、Google DriveやDropboxなどのコンシュヌマ向けクラりドストレヌゞから、Amazon Web ServicesAWSやMicrosoft Azureなどの゚ンタヌプラむズクラスのパブリッククラりドストレヌゞプロバむダヌに移行し、ランディングペヌゞでJavaScriptを䜿ったさたざたな゚ンコヌド技術を匕き続き䜿甚しお怜出を回避しようずしおいたす。

Amazonはこの皮のマテリアルをホストするアカりントの悪甚を非垞に譊戒しおおり、積極的に削陀しおいたすが、防埡偎もたたAWS S3クラりドストレヌゞでホストされおいるWebペヌゞ䞊の朜圚的な悪意のあるコンテンツに泚意する必芁がありたす。

Indicators of Compromise (IOCs)

IOC

IOC Type

Description

300spartans [.] dancelikejoseph [.] xyz

Domain

Loads up resources

xplicate [.] dancelikejoseph [.] info

Domain

Stolen credentials sent here

dancelikejoseph [.] site

Domain

Loads up resources

phasephaser@yandex.com

Email

Registrant

185.255.79 [.] 118

IP

Hosting

194.58.112 [.] 174

IP

Hosting

postmasterpledge [.] ru

Domain

Historical. Stolen credentials sent here (04/19-05/19)

dataanarchyofsons [.] site

Domain

Historical. Loaded up resources (03/19-05/19)

whistleobohemian [.] info

Domain

Historical. Stolen credentials sent here (02/19-04/19)

ランディングペヌゞのURL

盎近のキャンペヌンで、以䞋のURLが䜿われおいるこずを確認したした

これらは読みやすくするために芁玄されおおり、すべおのURLは以䞋の正芏衚珟に埓っおいたす。

https://s3.us-east-2.amazonaws [.] com/ *Phrase* [A-Za-z0-9/]{100,}\.html

https://s3.us-east-2.amazonaws [.] com/alan.d0cus1gn
https://s3.us-east-2.amazonaws [.] com/alan.interactive.business.services.
https://s3.us-east-2.amazonaws [.] com/aland0cus.1gn
https://s3.us-east-2.amazonaws [.] com/alanprat.doc.sign
https://s3.us-east-2.amazonaws [.] com/c0nnecticut.d0.cusig.n
https://s3.us-east-2.amazonaws [.] com/c0nnecticut.g0vernment
https://s3.us-east-2.amazonaws [.] com/c0nnecticut.government
https://s3.us-east-2.amazonaws [.] com/connecticut.government
https://s3.us-east-2.amazonaws [.] com/connecticut.government.d0cu
https://s3.us-east-2.amazonaws [.] com/d0cu
https://s3.us-east-2.amazonaws [.] com/d0cu.sign
https://s3.us-east-2.amazonaws [.] com/d0cudig.n
https://s3.us-east-2.amazonaws [.] com/d0cusign
https://s3.us-east-2.amazonaws [.] com/d0cusigned
https://s3.us-east-2.amazonaws [.] com/diarylandseed
https://s3.us-east-2.amazonaws [.] com/docu.s1gn
https://s3.us-east-2.amazonaws [.] com/docus.ign
https://s3.us-east-2.amazonaws [.] com/docusign
https://s3.us-east-2.amazonaws [.] com/docusigned
https://s3.us-east-2.amazonaws [.] com/homecredit.philippines
https://s3.us-east-2.amazonaws [.] com/interactive.business.service
https://s3.us-east-2.amazonaws [.] com/interactivebusiness.services

Proofpointは本蚘事の公開前にこれらのURLをAmazonに通知し、削陀を䟝頌したした。

ETおよびETPRO Suricata/Snortシグネチャ

2837889 ETPRO CURRENT_EVENTS AWS S3 Hosted Phishing Landing M1

2837890 ETPRO CURRENT_EVENTS AWS S3 Hosted Phishing Landing M2

2837891 ETPRO CURRENT_EVENTS AWS S3 Hosted Phishing Landing M3