うまくクラウドアプリのドメイン割り当て方法を利用して(悪用して)、フィッシングサイトへの誘い込みやマルウエアをダウンロードさせる方法をリサーチャーが公表しました。この手法だと、なかなか大手のセキュリティプロダクトでは検知できないようです。
(休み中なのでやや詳しく解説w)
Gerd AltmannによるPixabayからの画像
Google App Engine feature abused to create unlimited phishing pages
Google App Engineはグーグルのサーバ上でウエブアプリを開発、ホスティングするクラウドベースのサービスプラットフォームですね。
フィッシングキャンペーンではよくある手口ではあるのですが、Googleのエンジンでも危険性があるということです。
アプリはURL上サブドメインで表示されます。構成上、一つのサービスの上にあるわけですから、それぞれのアプリを区別する方法はサブドメインでの表記となります。
まぁ、悪意のあるアプリが存在しても、そのサブドメインをブラックリストに入れてしまえば、危険性はなくなります。(ま、通常は有償サービスとなりますけど)
Google AppEngineの場合
Version-dot-Sevice-dot-project_ID.resion_ID.r.appspot.com
となります。
アプリの名前だけでなく、バージョンや、プロジェクトのID、地域IDとかも情報もあります。
もう一つ重要なのは、これらのフィールドが誤っている場合、404(ページ不明)を出さずに、アプリのデフォルトのページをリダイレクトすることです。
たくさんのバージョンやプロジェクトを作って正規のアプリを登録しておきます。その中に一つマルウエアを仕込んだアプリを入れ込みます。
長いサブドメイン名にすることが簡単で、これはブラックリスト化するのが面倒になります。(正規表現使えるものならいいかな?でもパフォーマンスは?)証明書もGoogleが保証した形となると、セキュリティ製品もその評価があまくなります。ここではSymantecさんの評価ではPassしていますね。
ネットワークIoCレコードを採取している場合にも、サブドメインがランダム化されている場合、別々のIoCとして認識してしまうことがあります。
EDRも見つけにくいかもしれません。
一ついい情報。
セキュリティエンジニアでペンテスターであるYusuke Osumiさんが実際にフィッシングサイトに利用されているサイトをリスト化してTweetされております。
この辺り日本人が貢献しているのはうれしい限りです。