大家好，我是零日情報(bào)局。

全球蔓延的新冠疫情加劇遠(yuǎn)程辦公需求，就在人們享受著遠(yuǎn)程辦公軟件帶來的便利時(shí)——Zoom，全球知名的云視頻會(huì)議軟件，爆雷了。

開年3個(gè)月新增1.9億用戶，股價(jià)大漲130%，就連Zoom自己也沒想到，原本前景大好的態(tài)勢(shì)，因頻頻爆發(fā)的隱私安全問題和漏洞涼了下來。

比如，因?yàn)閆oom會(huì)議ID過短，任何人都可以隨機(jī)加入或攪亂視頻會(huì)議，包括黑客和網(wǎng)絡(luò)噴子，大量“ Zoombombing”造成會(huì)議崩潰之類的事件普遍發(fā)生;還有一系列安全漏洞的曝光，導(dǎo)致約15000個(gè)Zoom用戶私密視頻被上傳至公開網(wǎng)站……

隨后，世界頭號(hào)網(wǎng)絡(luò)會(huì)議供應(yīng)商，Cisco旗下的在線會(huì)議軟件“WebEx”，于4月8日，被Cofense網(wǎng)絡(luò)釣魚防御中心曝出相關(guān)釣魚活動(dòng)，WebEx用戶成了新一茬“韭菜”。

Zoom、WebEx這些遠(yuǎn)程辦公軟件相繼爆雷，早在遠(yuǎn)程辦公這股風(fēng)暴席卷全球時(shí)，網(wǎng)絡(luò)攻擊者就已經(jīng)站在了風(fēng)里。

網(wǎng)絡(luò)釣魚者為WebEx用戶設(shè)下四重陷阱

鐵打的網(wǎng)絡(luò)攻擊，流水的攻擊對(duì)象，這一次輪到了WebEx。

根據(jù)Cofense網(wǎng)絡(luò)釣魚防御中心發(fā)現(xiàn)的釣魚活動(dòng)，有攻擊者蹭上了遠(yuǎn)程辦公熱點(diǎn)，偽造WebEx安全警告的釣魚郵件(且釣魚郵件未被思科郵件防火墻捕獲)，借此誘導(dǎo)用戶通過釣魚鏈接進(jìn)行“更新”，試圖竊取WebEx憑據(jù)，以訪問網(wǎng)絡(luò)電話會(huì)議并盜取參與者共享的敏感文件和數(shù)據(jù)。

今時(shí)不同往日，在這個(gè)釣魚郵件滿天飛的特殊時(shí)期，能一邊躲過各大安全廠商的圍追截堵，一邊騙過受過多次教育的用戶，這次釣魚攻擊有何高明之處?

真實(shí)，這是釣魚攻擊成功的唯一核心要素。整個(gè)釣魚過程太逼真了!即使是看慣了高仿貨的人，也難免會(huì)因?yàn)榭醋哐?，栽在精仿貨的身上。通過還原本次釣魚活動(dòng)，零日總結(jié)出了攻擊者設(shè)下的四個(gè)陷阱，下面讓我們一起真實(shí)感受下這次釣魚攻擊的仿真程度。

在整個(gè)攻擊過程中，攻擊者發(fā)送了一封主題為“安全警報(bào)”的電子郵件，內(nèi)含欺騙性的地址“meetings [@] webex [。] com”，誘使用戶繼續(xù)操作，這一點(diǎn)沒什么特別之處。

陷阱一：逼真的高危漏洞警告

電子郵件內(nèi)容說明用戶存在一個(gè)必須修補(bǔ)的高風(fēng)險(xiǎn)漏洞，該漏洞必須允許未經(jīng)身份驗(yàn)證的用戶安裝“在系統(tǒng)上具有高特權(quán)的Docker容器”。攻擊者用真實(shí)內(nèi)容解釋完該漏洞問題后，甚至鏈接了該漏洞的合法文章，郵件內(nèi)容中的漏洞編號(hào)“CVE-2016-9223”文本，直接鏈接了該文章URL：hxxps：// cve [。] mitre [。] org / cgi-bin / cvename.cgi?name = CVE-2016-9223。

相信我，大多數(shù)具有安全意識(shí)的用戶，都會(huì)按照電子郵件中的說明進(jìn)行操作，選擇立即“更新”。

陷阱二：以假亂真的URL鏈接

即使還有更謹(jǐn)慎的用戶心存疑慮也無濟(jì)于事，攻擊者還精心設(shè)計(jì)了郵件“加入(安裝/更新)”按鈕嵌入的URL： hxxps：//globalpagee-prod-webex [。] com / signin;合法的Cisco WebEx URL為：hxxps：//globalpage-prod [。] webex [。]com / signin。

乍一看，這兩個(gè)URL看起來非常相似，但是仔細(xì)觀察，發(fā)現(xiàn)攻擊者在“ globalpage”中添加了一個(gè)額外的“ e”。同樣，惡意鏈接不是“ prod.webex”，而是“ prod-webex”。

陷阱三：為欺詐域名申請(qǐng)SSL證書

更為狡猾的是，攻擊者在進(jìn)行攻擊前就已經(jīng)通過Public Domain Registry注冊(cè)了一個(gè)欺詐域名，甚至可以為自己的欺詐域名申請(qǐng)SSL證書，從而獲得最終用戶的進(jìn)一步信任。

官方的Cisco證書是通過HydrantID驗(yàn)證的，而攻擊者的證書是通過Sectigo Limited驗(yàn)證的。無論誰驗(yàn)證了攻擊者的證書，結(jié)果都是相同的：一個(gè)鎖出現(xiàn)在URL的左側(cè)。

用戶重定向到的網(wǎng)絡(luò)釣魚頁面與合法的Cisco WebEx登錄頁面相同，在視覺上沒有區(qū)別。

陷阱四：將用戶定向到官網(wǎng)以證明合法性

即使在用戶提供WebEx憑據(jù)后，攻擊者也沒有掉以輕心，繼續(xù)將用戶導(dǎo)流到Cisco官方網(wǎng)站以下載WebEx。這足以說服大多數(shù)用戶相信，這次更新WebEx應(yīng)用程序是合法的。

高真實(shí)度的陷阱與釣魚過程環(huán)環(huán)相扣，成功的釣魚攻擊背后，沒有一個(gè)步驟是無辜的。

遠(yuǎn)程辦公頻繁爆雷 成為當(dāng)前網(wǎng)絡(luò)攻擊猛攻目標(biāo)

話說回來，Zoom、WebEx爆雷的根源還是遠(yuǎn)程辦公。迅速崛起的遠(yuǎn)程辦公需求，為網(wǎng)絡(luò)攻擊者提供了一個(gè)新的攻擊思路。

零日從公開數(shù)據(jù)中了解到，僅春節(jié)期間，在我國7億+工作人口中，就有超過3億遠(yuǎn)程辦公人員，這個(gè)比例放之全球也是只多不少。甚至，我們預(yù)測(cè)，2024-2025年全球?qū)⒂?.23億人步入遠(yuǎn)程辦公。

這種互聯(lián)網(wǎng)剛需、高流量、to B帶來的巨大誘惑，帶動(dòng)了各個(gè)遠(yuǎn)程辦公軟件興起或繁榮發(fā)展。但是，Zoom、WebEx已經(jīng)向我們釋放了一個(gè)危險(xiǎn)信號(hào)：被提前引爆的遠(yuǎn)程辦公，將在很長一段時(shí)間內(nèi)成為網(wǎng)絡(luò)攻擊者炮火集中的首要目標(biāo)。

很顯然，已經(jīng)為人魚肉的各大遠(yuǎn)程辦公軟件并沒有意識(shí)到這一點(diǎn)，以Zoom、WebEx為首的多數(shù)軟件沒有做好準(zhǔn)備，以至于成為攻擊者最先鎖定的攻擊對(duì)象。

最后，零日要提醒大家的是，在真正的戰(zhàn)場(chǎng)上，攻擊者從不會(huì)等你。

零日反思

額外思考一個(gè)問題，為什么是Zoom、WebEx相繼成為攻擊者收割的第一波目標(biāo)?說到這，不知道大家注意到?jīng)]有，本文開篇在介紹這兩家時(shí)的用詞：“全球知名”、“世界頭號(hào)”的遠(yuǎn)程辦公軟件，這很好理解，蹲在遠(yuǎn)程辦公隱蔽處的攻擊者，要的就是擒賊先擒王。

在這個(gè)網(wǎng)絡(luò)安全考場(chǎng)中，不知道下一個(gè)中招的公司又是哪個(gè)?

零日情報(bào)局作品

微信公眾號(hào)：lingriqingbaoju

參考資料：

[1] Cofense《新的網(wǎng)絡(luò)釣魚活動(dòng)欺騙WebEx鎖定遠(yuǎn)程工作者》

聲明：本文經(jīng)安全客授權(quán)發(fā)布，轉(zhuǎn)載請(qǐng)聯(lián)系安全客平臺(tái)。