攻击者滥用GitHub服务来托管网络钓鱼工具包

作者:   深圳市网安计算机安全检测技术有限公司 2019/04/25 17:07:10 234次阅读 国际
文章来源:http://www.mottoin.com/detail/3930.html
sA5Ak6CrB1F5MP4nHOxD1uuMfuleqI0f65EI6qDL.png

       恶意攻击者滥用基于Web的GitHub代码托管平台服务的免费存储库通过github.io域名向其目标分发托管在GitHub代码托管平台上的网络钓鱼工具包。

       这种技术允许攻击者利用GitHub Pages服务绕过白名单和网络防御,就像“使用大型消费者云存储网站、社交网络和商业服务,如Dropbox、Google Drive、Paypal、Ebay和Facebook”一样将他们的恶意活动融入合法的网络流量中。

       研究人员表示,自2019年4月19日起,GitHub注销了了所有被发现参与恶意活动的账户,同时“对解决滥用他们的系统问题也极为敏感”。

       正如Proofpoint的研究团队所发现的那样,多个攻击者利用github.io域作为各种恶意活动的一部分,包括网络钓鱼攻击,这些攻击将受害者引导到GitHub服务上托管的登陆页面。

       例如,其中一名攻击者托管了一个网络钓鱼工具包,该工具包旨在利用恶意电子邮件将零售银行品牌的客户重定向到目标网页后窃取凭证。

pyUni7hs99lPzLmfCt8o8nDqEaK8fnh6FcgctSYC.png

GitHub上托管的恶意电子邮件和网上虚假登录页面

       Proofpoint的研究人员还发现,在大多数情况下,托管在GitHub页面上的网络钓鱼工具包还会将收集到的凭据和敏感信息发送给钓鱼活动背后的攻击者。

       此外,网络钓鱼工具包不包含基于PHP的工具,因为github.io中没有“PHP后端服务”,而一些攻击者利用“github.io域作为流量重定向器,这使得虚假页面在被删除之前更难以被发现。”

       由于网络钓鱼者使用免费的GitHub账户,暴露了所有存储库活动,所以Proofpoint的研究团队能够监控他们的行为,并了解到为了达到不同的目的,网络钓鱼工具包已经过高度定制。

       例如,研究人员观察到“攻击者对妥协指标的更新中包括了缩短链接”,以及使用“托管在远程域上的PHP脚本”来修改登录页面,以规避GitHub页面的限制。

bv5rzg4KxGULZ6coBaszNlK574pVhZAskfzRJOSs.png

从远程域加载PHP脚本

       如前所述,使用合法域来托管其登录页面的网络钓鱼活动是攻击者规避基于域的白名单最常采用的方法。

       今年2月,Akamai SIRT成员Larry Cashdollar发现一项网络钓鱼活动伪装成谷歌翻译登录页面以窃取谷歌和Facebook凭据。

       为了让其伪造的登录页面看起来合法,钓鱼者还滥用微软的Azure Blob存储,使他们伪造的登录页面使用windows.net子域的有效Microsoft SSL证书,同时试图窃取Office 365、Azure AD、Outlook和Microsoft帐户凭据。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室