Linkless phishing

V zásadě se jedná mezi útočníky o poměrně oblíbenou techniku, která jim umožňuje projít skrze většinu antimalware řešení.

Spočívá v silně obfuskované HTML příloze phishing e-mailu, který přichází z cloudu, např. ze SendGridu. Odesílatelem e-mailu je důvěryhodný mailový server, z kterého chodí i naprosto legitimní e-maily.

HTML soubor by sám o sobě nemusel představovat hrozbu, ovšem může obsahovat javascript, odkaz na stažení škodlivého souboru anebo formulář vyžadující zadání přihlašovacích údajů.

Po kliknutí na HTML přílohu e-mailu se otevře přidružený prohlížeč internetu. V něm je vyrenderována stránka, která napodobuje vzhled nějaké důvěryhodné cloudové služby, např. Microsoft SharePoint nebo. Google Drive, Adobe apod. Na této stránce je pak zobrazena ikona nějakého dokumentu např. PDF s možností jeho stažení.

Ovšem při pokusu o stažení tohoto souboru anebo již hned po zobrazení stránky v prohlížeči, je zobrazena falešná výzva k zadání přihlašovacích údajů k této službě. Často bývá pro zvýšení důvěryhodnosti již předvyplněna e-mailová adresa oběti. Po zadání přihlašovacích údajů, jsou tyto údaje přeposlány útočníkovi, dojde ke stažení souboru a oběť je přesměrována na legitimní stránky, takže z jejího pohledu se v zásadě nic podezřelého nestalo.

Důvod, proč útočník do e-mailu vkládá HTML přílohu a odkaz neuvede rovnou v těle e-mailu, je ten, že odkazy v HTML příloze nejsou zpravidla antivirovými prostředky detekovány a analyzovány, protože ty skenují jen obsah e-mailu. V případě, že by se o analýzu HTML přílohy nějaký antivirus přeci jen pokusil, tak by musel nejprve provést dekódování, a to mnohdy i vícečetné.

Samotný HTML kód přílohy e-mailu, kterým ostatně může být jen javascript, bývá silně obfuskován, takže není snadné se v něm orientovat, natož na první pohled detekovat URL, z kterých jsou stahovány obrázky, škodlivý kód anebo výkonný skript, který zpracovává uživatelem zadané přihlašovací údaje.

Stránka je samozřejmě validní, věrně napodobuje stránky legitimní služby a obsahuje i favicon <link rel=“shortcut icon“ id=“favicon“ href=“…“>, takže na první pohled je k nerozeznání od skutečné stránky. Obrázky jsou navíc často kódovány za použití techniky BASE64 <img src=“data:image/png;base64,…“> takže je možné je vložit přímo do html kódu a není nutné je odnikud stahovat. Tímto se sníží počet volání a znesnadní detekce.

HTML soubor může rovněž obsahovat jen JS, který je kódován za použití staré funkce document.write (unescape(‘….‘)); takže bez jeho dekódování není možné zjistit, jak bude výsledná stránka vypadat. Jedná se o URL kódování známé také jako procentní kódování. To se normálně používá jen ke kódování rezervovaných znaků, ale mohou jím být zakódovány všechny znaky, čehož útočník pochopitelně využívá. Každý znak je tak zapsán jako % a po něm následuje jeho ASCII kód zapsaný v hexadecimálním tvaru.

Teprve po dekódování dostaneme výsledný HTML kód, ovšem ten je záměrně zapsán v jednom řádku, takže také není moc přehledný. Pro zlepšení čitelnosti je ovšem možné použít nějaký HTML beautifer.

Ovšem ani poté nemáme vyhráno, protože klíčové části, jako je URL, bývají zpravidla ještě kódovány a to nahrazením jednotlivých znaků HTML entitami. Normálně se HTML entitami nahrazují jen speciální znaky, ale útočník zde s oblibou nahrazuje celou URL včetně použitého protokolu. Každý znak je tak zapsán jako &#Unicode hodnota; Takže je nutné jej nejprve dekódovat.

Dekódování samozřejmě dělá za uživatele prohlížeč, takže když příjemce takovéhoto e-mailu klikne na přílohu, tak se nemusí o nic starat. Nicméně při analýze nelze na přílohu jen tak kliknout, a je nutné provést postupné dekódování.

Vzhledem k tomu, že se nejedná o šifrování (i když i na to lze v JS narazit), ale jen o kódování, tak to lze v zásadě udělat i ručně, ale přesto je vhodnější použít za tímto účelem již hotové online nástroje, které za nás dekódování provedou a zobrazí nám výsledek, tedy čistý HTML kód s JS.

I tak ale musíme počítat s tím, že tento kód nemusí být zcela čitelný, obzvlášť pokud je použita technika zerofont, kód je plný nadbytečných tagů a v zásadě nic nedělajících javascriptů, které slouží jen ke zmatení.

Vlastní škodlivý kód je sestaven až po sérii matematických a logických operací prováděných jedním JS nad velkým množstvím v kódu zapsaných textových řetězců. A jestli bude konečným výsledkem jen zobrazení formuláře nebo doručení škodlivého souboru je už jen detail.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Linkless phishing” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: