情报背景
利用Google drive等可信云服务进行的网络钓鱼攻击活动日益增长,这种攻击手段利用了高可信度的云服务骗取受害者的信任,并且可以绕过基于域名的安全策略。
近期Avanan公司发现了一种新的邮件钓鱼方式,攻击者利用Google docs的评论功能实现钓鱼链接的投放,本文将对本次攻击中攻击者利用Google docs的评论功能投递钓鱼链接的方法进行分析研判。
|
组织名称 |
未知 |
|
组织编号 |
未知 |
|
关联组织 |
未知 |
|
相关工具 |
无 |
|
战术标签 |
初始访问 |
|
技术标签 |
钓鱼 邮件网关绕过 |
|
情报来源 |
https://www.avanan.com/blog/google-docs-comment-exploit-allows-for-distribution-of-phishing-and-malware |
01 攻击技术分析
亮点:利用谷歌官方邮件投递钓鱼链接
如下图,攻击者首先使用他们的 Google 账户创建一个 Google 文档,然后选择要发送的评论文字,并添加”@符号 受害者邮箱”的文档评论。
然后,Google 会向目标的收件箱发送一封官方通知电子邮件,如下图,该通知邮件的发件人地址为谷歌官方邮箱,这意味着绝大部分的邮箱不会把它标记为恶意邮件。
当受害者从收件箱打开时,由于通知邮件内容只会显示攻击者构造好的邮箱姓名和诱导性评论文字,这就导致受害者根本无法分清邮件的真实来源。
这种钓鱼链接投递技术还适用于Google Slide 和 Google Workspace 服务,下图为利用google slides的评论功能投递钓鱼链接。
02 总结
利用Google 等云服务来进行网络钓鱼攻击,已经不是一件新鲜事了。但是和以往的云服务利用不同,这种钓鱼邮件依托了谷歌官方邮件地址的高可信度,能躲避大多数现有的邮件防御规则。其次,这类钓鱼邮件的话术伪造十分容易,攻击者甚至都不需要目标访问共享云文档,因为邮件本身的内容已经具有相当的迷惑性。
绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。
研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。
M01N Team
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队
原文始发于微信公众号(M01N Team):攻击技术研判|利用Google Docs的评论功能投递钓鱼链接
