终于把这个 DKIM 攻击复现出来了,有点东西。分享一下具体步骤:
首先,需要通过Namecheap注册个域名。这帮攻击者用的域名取得也挺有意思:
-
googl-mail-smtp-out-198-142-125-38-prod.net(少个e,但是一眼看过去还以为是google) -
wd-00000000000097d33d0631f6fe58-goog-ssl.com
你看这些名字,一大串数字加上goog,普通用户根本不会怀疑。
接着在Namecheap上搞了个免费的PrivateEmail,就是这种格式:
me@ googl-mail-smtp-out-198-142-125-38-prod.net
然后去注册个谷歌Workspace账户,反正有免费试用嘛,又不花钱。验证域名就用DNS TXT记录,这步必须做,不然后面没法继续。
这里开始有点意思了,他们创建了个谷歌OAuth应用,然后给自己的账户授权。这时候谷歌会往你注册时用的那个邮箱(就是上面那个Namecheap的)发送告警和通知邮件。
骚操作来了,你知道在谷歌的OAuth应用里,"应用名称"这个字段可以填啥都行吧?
这就给他们留了个大漏洞。告警邮件直接发到Namecheap账户,而Namecheap的邮箱服务还真有点东西。
你可以创建规则,把发件人随便改成啥,比如改成no-reply@google:
然后设置转发规则,直接转发给目标受害者:
虽然邮件头里能看到Resent-From和Redirected-From这些信息,但老实说谁会去查啊?
最后的结果就是:受害者收到一封看起来完全像谷歌官方发的邮件,SPF、DKIM、DMARC全都通过验证!
组合拳搞起!
easydmarc 前段时间发的分析,有兴趣的师傅可以直接看原文。
原文始发于微信公众号(RedTeam):DKIM 签名劫持
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论