网络犯罪分子使用反向隧道和URL缩短器躲避检测

admin 2022年6月14日07:52:05评论35 views字数 1582阅读5分16秒阅读模式

新的黑客技术允许威胁行为者逃避一些最有效的网络钓鱼对策


安全研究人员警告说,犯罪集团正在采用一种进行网络钓鱼攻击的新方法,它可能会使威胁行为者几乎无法检测到。


该技术涉及使用“反向隧道”服务和URL缩短器来发起大规模的网络钓鱼攻击。更重要的是,使用这些技术的小组不会留下任何痕迹。


相反,威胁参与者可以使用其本地计算机在随机URL上托管网络钓鱼页面。这些可以帮助逃避 URL 扫描服务的检测。然后,这些组可以使用 URL 缩短器服务进一步屏蔽其标识。


进洞


攻击者没有利用技术意义上的漏洞。相反,他们正在滥用现成的合法服务来绕过反网络钓鱼措施。与该技术相关的服务包括 bit.ly,Ngrok和Cloudflare的Argo Tunnel。


CloudSEK的安全研究人员检测到了该攻击,他们发现该方法被用于针对印度银行的客户。


在这里,网络钓鱼攻击试图欺骗客户交出他们的银行详细信息,Aadhaar(印度国家身份)号码和其他敏感信息。


“当我们在互联网上监控与客户相关的资产,冒充和数据时,我们发现了这一点,”CloudSEK首席威胁研究员Darshit Ashara告诉The Daily Swig。


“在我们的常规研究过程中,我们开始注意到这种滥用多个反向隧道服务的模式。


尽管CloudSEK检测到针对印度银行客户的网络钓鱼企图,但该技术也已在美国,英国和欧洲使用。


“如今,反向隧道攻击已经变得非常普遍,”Ashara补充道。“使用反向隧道的威胁参与者的作案手法包括发送基于SMS的垃圾邮件,并使用流行的URL缩短服务缩短网络钓鱼URL。


“我们已经观察到这种技术被用于针对大多数主要品牌和组织。


网络犯罪分子使用反向隧道和URL缩短器躲避检测


隐藏在阴影中


反向隧道使犯罪集团能够逃避一些最有效的对策。


网络钓鱼团体被捕获的一种方式是通过他们对托管服务提供商的依赖,以及他们对域名的使用,CloudSEK说,“冒充目标公司或关键字”。


即使没有足够的证据让执法部门追捕网络钓鱼组,托管服务提供商也会关闭欺骗域。


使用带有“随机或通用”关键字的域可以为攻击者提供一些保护,因为它们无法报告品牌侵权。但是,网络犯罪分子能够使用反向隧道,通过将网络钓鱼二进制文件存储在本地PC上来完全绕过托管。


在顶部添加URL缩短会使跟踪攻击变得更加困难,并且可能使受害者更容易陷入骗局。除此之外,大多数反向隧道URL都是临时的 - 通常仅运行24小时 - 并且归因和起诉变得更加困难。


改进的监控


CloudSEK呼吁改进对反向隧道服务的监控。例如,Ngrok现在要求其用户披露其IP地址,并在托管HTML内容之前进行注册,而Cloudflare则要求用户创建一个帐户。


URL缩短更难监管,因为没有实际的恶意活动:它们只是将用户指向网站。不过,CloudSEK承认,发现攻击取决于第三方监控。


因此,目标公司可能不得不依靠用户教育来应对这种攻击媒介。


“实际上,这是网络钓鱼攻击的另一个渠道 - 关键区别在于归因,”数字风险管理咨询公司ProtectIng Group International的网络运营主管Chris Preece说。


“如果一个域名是在托管服务提供商处注册的,他们可以回应投诉并关闭网站,但是对于反向隧道,反向隧道提供商对此没有责任,这意味着它可能更难删除。将其与URL缩短器结合使用,它可以非常有效。


“这听起来是陈词滥调,但我们的建议是加倍提高网络钓鱼意识,以减少有人点击恶意链接的可能性。


原文:https://portswigger.net/daily-swig/cybercriminals-use-reverse-tunneling-and-url-shorteners-to-launch-virtually-undetectable-phishing-campaigns



原文始发于微信公众号(xiaozhu佩奇学安全):网络犯罪分子使用反向隧道和URL缩短器躲避检测

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月14日07:52:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络犯罪分子使用反向隧道和URL缩短器躲避检测https://cn-sec.com/archives/1114025.html

发表评论

匿名网友 填写信息