来自 网络 2021-06-11 19:07 的文章

cdn防御_ddos大流量攻击防御_精准

概述:最近一段时间威胁情报发现,在Microsoft云服务上托管的凭据仿冒网页有所增加。利用Azure Blob存储或SharePoint等服务进行网络钓鱼并不是什么新鲜事,以前也有报道。2019年7月,我们的客户群最近的观察表明,攻击者继续在利用这些服务方面取得成功,并正在努力通过十六进制编码链接规避电子邮件过滤(可能是对这些服务的更严格审查的回应)。本周早些时候,eSentire为我们的客户发布了关于这项新技术的安全建议,而这篇博文的目的是提供一个更深入的技术探索使用十六进制编码绕过传统的反钓鱼防御技术回顾:使用Microsoft云服务在云服务上发布网络钓鱼网页以相对较低的工作量/成本提供了显著优势。Azure博客存储上的基本WordPress站点可以相对快速地构建,并为凭据提供有效的TLS证书和域收获。相似之处对于basestrikert,这种链接的十六进制编码确实与先前披露的绕过高级安全控制(如ATP或Safe links)的"basestrucker"方法有相似之处滥用网址标签输入然而,在这个新的例子中,攻击者在消息体的中定义了十六进制编码的恶意链接,然后将来自链接的特定于用户的信息合并到消息中六角体编码虽然上述云服务的使用已经持续了一段时间,但HEX编码的使用提供了一种相对较低的混淆方法,并且很可能是对更严格审查的回应。一旦一种新的方法被攻击者所利用,他们通常会尽可能多地从中榨出,以延长其有效期。从攻击者的角度来看,它往往比重新开始更容易适应(PowerShell执行技术就是一个很好的例子)。eSentire观察到的网络钓鱼活动会让用户认为服务器错误会延迟邮件传递,并试图提示用户单击"查看邮件"。[image src="/assets/Figure1.png"id="2303"width="701"height="435"class="center ss htmleditorfield file image"title="Figure1"]仔细查看电子邮件,与之前观察到的利用微软云服务的活动相比,这次事件稍有不同的是,在消息体中使用了URL十六进制编码,可能是用来规避基于URL内容的过滤,链接过滤等。下面显示了来自消息头的一个示例。[image src="/assets/Figure2.png"id="2304"width="695"height="114"class="center ss htmleditorfield file image"title="Figure2"]如果用户要遵循电子邮件中包含的"审阅邮件"链接中的链接(图1)–他们将看到一个非常令人信服的仿冒Microsoft Office 365登录页的仿冒网页。仿冒邮件中包含的"审阅邮件"链接也将传递仿冒电子邮件地址以及仿冒链接(例如,目标用户的电子邮件地址将预先填充在Office仿冒网站中)。下面突出显示了提供该机制的函数示例。[image src="/assets/Figure3.png"id="2305"width="739"height="60"class="leftOnly ss htmleditorfield file image"title="Figure3"]再次,如果链接被跟踪,则会出现以下仿冒合法Office 365登录页面的仿冒网站,与传递的目标用户/电子邮件地址一起–下图是结果登录页。[image src="/assets/Figure4.png"id="2306"width="1027"height="350"class="center ss htmleditorfield file image"title="Figure4"]当目标用户成为此钓鱼网站的受害者时,网络钓鱼页面中包含一个JavaScript函数,它将预先填充的电子邮件地址和输入的密码转发到攻击者选择的目标域。在本例中,国内高防cdn节点,"sendmails()"脚本的内容如下所示。[image src="/assets/Figure5.png"id="2307"width="900"height="374"class="center ss htmleditorfield file image"title="Figure5"]在初始观察后绕过领先的电子邮件保护提供程序,eSentire通知了我们的电子邮件保护提供商有关十六进制编码的链接技术,在本博客发表时,他们仍在开发一种预防措施。为了进一步验证我们的电子邮件保护提供商的这一发现,我们创建了一个简单的概念证明,以突出显示在字段中没有扫描十六进制编码的URL。[image src="/assets/Figure6.png"id="2308"width="1460"height="547"class="center ss htmleditor field file image"title="Figure6"]生成的测试电子邮件然后在没有进行任何链接扫描的情况下成功交付。[image src="/assets/Figure7.png"id="2309"width="849"height="531"class="center ss htmleditorfield file image"title="Figure7"],ddos防御系统安装在哪,为了进行对比,防御ddos策略,突出显示链接扫描成功检测到前面提到的basestrucker方法的屏幕截图。[image src="/assets/Figure8.png"id="2310"width="1125"height="614"class="center ss htmleditorfield file image"title="Figure8"]在我们分析上述活动期间,我们确定了大约162个特定事件的目标域。我们还确定了两者的用途。blob.core.windows.net和。azurewebsites.net网站对于托管平台。根据已审核的SSL证书信息,ddos防御绿盟,我们可以确定此活动最有可能在以下时间或前后开始:钓鱼网站({redacted}。blob.core.windows.net)-2019年4月30日钓鱼网站({redacted}。azurewebsites.net网站)-2019年5月9日建议对于任何登录门户,用户需要确保他们在正确的页面上。这个例子使用了一个合法的(*。blob.core.windows.net/*。azurewebsites.net网站)证书,因此从最终用户的角度来看,检测可能有点棘手,但也缺少特定于组织的品牌。以下是一些你可以遵循的步骤来保护自己免受这些类型的攻击:使用报告/分类组织内可疑电子邮件的强大流程。采用多因素身份验证回顾eSentire关于这项新技术的安全建议

,防御ddos攻击方法