V BOIT Cyber Security se věnujeme phishingovým testům a krom takové té klasiky si rádi hrajeme i s různými specialitkami – hlavně když nechceme testovat jen uživatele, ale i adminy či detekční nástroje. O phishingu a jeho dalších formách mám již jeden článek z minula, takže kdo jej nečetl, mrkněte sem: Phishing, quishing, SPAM a SCAM – co je co a jak se v tom vyznat – Spajk.cz

Dnes bych se rád podíval právě na ty pokročilejší techniky, kterými se útočníci snaží zamaskovat URL adresy aby se vyhnuli detekcím. Tak jdeme na to.

PS: Dodatečně jsem k článku natočil i YouTube video, můžete na něj mrknou zde:

1. Matoucí subdomény

Tohle je sice easy a popisoval jsem to i v základním článku, ale používá se to často. Podívejme se třeba na tuto doménu:

https://microsoft.com.security-token-80170943286932432.app/

Běžný uživatel na začátku uvidí Microsoft.com a když si vzpomene na radu, kterou teoreticky dostal na školení – tedy „kontrolujte domény“ – tak mu to sedne a je v cajku. Zbytek (doménu 2. a 1. řádu) pak považuje za nějaký bordel v odkazu. Bohužel to jak vypadá a funguje skládání domén a subdomén po jednotlivých řádech se ve škole a často ani na těch školeních neučí.

Proto jsme pro vás připravili URL analyzér, který vámi vloženou doménu zkontroluje a ukáže co je doména, subdoména a tak dále: BOIT URL Analyzér

🤖 Tenhle web je bez reklam! 🤖
💸 Nesbírám a neprodávám data návštěvníků. 💸
🕵️‍♂️ Respektuji Vaše soukromí. 🕵️‍♂️
🌎 Píšu pro dobro lidstva. 🌎

❤️ Líbí se Vám článek? ❤️

Kupte mi kafe!

Takže bacha na syntaxi URL.

TIP: Někdy je jako univerzální řešení prezentována možnost blokovat NRD – newly registred domains – tedy domény registrované před méně než 30 dny. Jop, to určitě může pomoci, nicméně útočníci používají uleželé domény, nebo domény překoupené (či ukradené) s dlouhou a dobrou historií.

2. Typosquatting

Útočníci ho často využívají, koupí si nějakou překlepovou (typosquatting) doménu, nebo doménu co vypadá jako ZIP soubor a ty pak mají uživatele zmást – podobně jako případ výše.

Jako příklad můžeme použít doménu mlcrosoft365.cz. V adresním řádku se L unavenému oku snadno zamění za i a uživatel si překlepu nevšimne. To že místo COM je uvedeno CZ možná také někdo přehlédne nebo si to sám odůvodní. Navíc všude svítí oficiální loga, jsou použity správné barvy, nejsou tam žádné pravopisné chyby…. Uživatelé prostě vidí web jako celek a pokud na první dobrou vypadá tak jak jsou zvyklí, nezkoumají detaily.

Zkopírovat jakýkoliv web je otázka pár minut – buď použijete některý z dostupných nástrojů pro klonování, nebo ho udělá i méně zkušený webař.

Ideálně, když typosquatting detekuje antivir/safelink/jiný_nástroj v e-mailu, nebo prohlížeč při příchodu na URL, ale i tohle může selhat, a tak je za mě fajn, aby o tom uživatelé věděli a dokázali si URL sami zkontrolovat. Tuto fičuru má v sobě MS Edge (tam jsem ji zaznamenal dřív) a i Google Chrome.

TIP: Zapněte si detekci impersonifikace: Configurable impersonation protection and scope for Preset Security policies – Microsoft Community Hub

TIP: Zapněte detekci typosquattingu buď lokálně ve svém prohlížeči, nebo hromadně pomocí GPO: Enable/Disable Edge Typosquatting Checker Using Intune & GPO (cloudinfra.net)

TIP: pokud máte správce hesel který má doplněk v prohlížeči, na podvodné stránce se nezobrazí možnost vyplnit uložené heslo – správce hesel na rozdíl od uživatele pozná že je na špatné URL. Toho se dá využít – pokud user nevidí možnost vyplněné hesla (na webu kde je registrován/má uložené heslo) tak ví, že je asi špatně…

3. Homoglyfy

Homoglyfy jsou písmena, která napříč různými abecedami vypadají vizuálně stejně.

Společně s mezinárodními doménovými jmény (IDN), hrají klíčovou roli v phishingových útocích tím, že maskují závadné webové stránky jako ty legitimní. Tyto techniky umožňují útočníkům vytvářet domény, které se na první pohled zdají být důvěryhodné, ale ve skutečnosti odkazují na škodlivé stránky.

Například útočník může zaregistrovat doménu apple.com, která využívá homoglyf pro běžné písmeno, jako je použití řeckého písmene ‚α‚ místo latinského ‚a‚, což vede k vytvoření doménového jména, které vypadá skoro identicky s originální doménou, ale ve skutečnosti je to úplně jiná adresa.

Uživatelé tak mohou být lehce oklamaní a poskytnout citlivé informace, jako třeba přihlašovací údaje na těchto falšovaných stránkách.

Dobrá zpráva je, že CZ doména IDN a tedy homoglyfy nepodporuje, takže u nás od toho máme (zatím) pokoj. Nicméně domény jako EU a COM a NET je podporují.

Co je homoglyf tedy víme, přistoupíme teď tedy k dalšímu termínu – Punycode.

Punycode funguje tak, že překládá ty speciální znaky z mezinárodních doménových jmen (IDN) do běžného ASCII formátu, což je sada znaků, kterou internet a počítače široce používají a rozumějí ji. Tento ASCII řetězec se skládá z normálních anglických písmen, čísel a spojovníků.

Když například máte doménu s nějakým znakem, který není v ASCII, třeba české ‚č‘, Punycode to převede na něco jako „xn--“ následované sérií ASCII znaků, která reprezentuje původní znak. Tento formát umožňuje, aby se domény s netradičními znaky mohly bez problémů používat v různých částech internetové infrastruktury (např. v DNS záznamech), které by jinak mohly mít s netradičními znaky potíže.

Pro překlad můžete použít třeba tento překladač: Punycode converter (IDN converter), Punycode to Unicode 🔧🛠🧰 (punycoder.com)

вот.com  -- doména bot.com zapsaná v azbuce
xn--b1aym.com  -- překlad pomocí punycode na ASCII

Tímto způsobem si můžete zaregistrovat podvodnou doménu, která bude vizuálně k nerozeznání od pravé, nicméně bude odkazovat na zcela jinou IP adresu.

TIP: Homoglyfy umí detekovat nástroje sloužící k analýze URL i DNS, mrkněte tedy do nápovědy k vašemu poskytovateli antiviru či firewallu, zda to umí. Homoglyph Detection – Technique D3-HD | MITRE D3FEND™

4. zakódování IP adresy do ASCII s použitím hexadecimálního formátu

Některé weby umožňují načíst web přes IP adresu a ty jdou překódovat a tak jdou taky zneužít k vyhnutí se detekci.

Začneme převedením do octal formátu a začneme třeba tím, že si pro ilustraci přeložíme doménu Seznam.cz na 77.75.79.222.

Zkuste zadat tuto IP do prohlížeče – načte se web.

Pro překlad do octalového zápisu použijeme třeba tento converter: IP to Octal Converter – Convert IP to Oct – Online – Browserling Web Developer Tools

Dostaneme pak místo 77.75.79.222 takovýto zápis: 0115.0113.0117.0336

Zkuste ho zadat v Chrome do řádku s URL. A načte se zas web Seznamu – i když je zápis URL jiný, browser si jej přeloží, v řádku pak zobrazí klasicky adresu.

OK, takže máme octal zápis. Už to by možná stačilo. Ale my půjdeme dál. Hodíme to ještě do HEXa. 🙂 Skočte třeba na CyberChef: To Hex – CyberChef (gchq.github.io)

Nechte přeložit octálový zápis 0115.0113.0117.0336 do HEX a zkopírujte si výstup. Na začátek pak přidejte ještě znak %, tedy takto:

No a zkuste to teď vložit do browseru – načte se opět Seznam. 🙂 Tohle ale funguje na spoustě webů, dokonce i na jedné z mých bank a nebo jedné nejmenované antivirové firmě. Pokud by weby používaly HSTS, kde je možné použít pouze domain name a ne IP adresu, tohle by se nestalo.

Sranda je, že to jde kombinovat s normálním zápisem URL adresy.

Troll meme sticker, funny illustration

Zkusíme si to teď jinde, a to na této adrese (asi nezkoušejte na pracovních kompech, stránka je detekována většinou nástrojů jako phishing site):

microsoft.com%2e%61%73%63%64%75%6B%6C%61%2E%6F%6E%6C%69%6E%65

Otevře se fake login do Microsoftu (nebojte, není za tím žádná databáze, je to jen stránka pro edukační účely).

Pomocí těchto triků mohou útočníci vložit takto „obfuskovanou“ adresu do hyperlinku v e-mailu a je tu značná šance, že projde nepozorovaně kolem konvenčních detekčních mechanismů.

TIP: Pokud má M365 a Defender, zapněte si Safe Links: Complete Safe Links overview for Microsoft Defender for Office 365 – Microsoft Defender for Office 365 | Microsoft Learn
Případně mrkněte zda váš poskytovatel bezpečnostního řešení má podobnou alternativu – Palo Alto, Cisco…

5. Browser-in-the-Browser

Dost husetej typ útoku a šance na to, že jej pozná běžný uživatel, je malá. Tenhle útok simuluje situaci, kdy jste kliknuli na tlačítko pro přihlášení účtem Microsoft a vyskočilo vám logovací okno. Tohle většina uživatelů zná a nepřijde jim to divný.

Za tlačítkem se skrývá podvodný odkaz, který vyvolá vyskakovací okno s loginem.

Ale tady máme háček – tohle okno je fake. Je to jen trocha HTML, CSS a JavaScriptu a do fejkového pole s adresou si můžete napsat co chcete – v tomto případě správná login adresa do Officů. Přihlašovací políčka a obsah okna jsou pak dotažené pomocí iframe z jiné stránky.

Kdo se nebojíte, mrkněte na ukázku zde – bacha, možná vám budou řvát antiviry, ale opět, nic zlého tam není: https://microsoft.com.security-token-80170943286932432.app/ (zkopírujte a vložte do adresního řádku, záměrně nedělám hyperlink) –> tohle nedělejte v práci, ať za váma pak neběží security, že tam pouštíte nějaké malwary. 🙂 Zkuste si zahýbat oknem, přesunout jej mimo. Pokud se okno ani nehne, reaguje antivir a blokuje JS, nebo NoScript doplněk.

Že je okno fejkové pozná i BFU a to poměrně snadno – protože je to iframe, tak nejde vytáhnout mimo okno prohlížeče! Stejně tak nejde upravit domnělá adresa ve falešném adresním řádku. A zámeček na začátku nezobrazí certifikát, protože to je jen obrázek… Lehce pokročilejší user může kliknout pravým myšítkem, zvolit možnost „Prozkoumat“ a podívat se odkud se to (iframe) tahá. Níže vkládám video, jak to poznáte – časem ho vyměním za hezčí a komentované.

TIP: K detekci tohoto útoku můžete využít třeba tento doplněk: GitHub – MalwareCube/enhanced-iframe-protection: A lightweight extension to automatically detect and provide verbose warnings for embedded iframe elements in order to protect against Browser-In-The-Browser (BITB) attacks.

Závěrem

Jak vidíte, je toho dost. Máte další tipy, co bych zde mohl uvést? Napište mi na mail!

Chcete to naučit své ajtíky nebo zaměstnance? Rádi Vás proškolíme nebo otestujeme vaše nastavení – mrkejte na Školení IT bezpečnosti nejen zaměstnanců – prezenčně i online | BOIT

🤖 Tenhle web je bez reklam! 🤖
💸 Nesbírám a neprodávám data návštěvníků. 💸
🕵️‍♂️ Respektuji Vaše soukromí. 🕵️‍♂️
🌎 Píšu pro dobro lidstva. 🌎

❤️ Líbí se Vám článek? ❤️

Kupte mi kafe!