פישינג, התחקות אחרי התוקפים

הרעיון מאוחרי הפוסט הזה, הוא לחלוק ידע בניתוח דרכים להתחקות אחר יוצרי עמודי פישינג. ידע לכשעצמו אינו חיובי או שלילי בהיבט האתי, רק הדרך שימוש בו.

קיבלתי היום SMS מהמספר +972-54-6222637 (מחיפוש עולה כי המספר שייך למעבדת מחשבים בחיפה, אך כאשר ניסתי להתקשר למספר, קבלתי הודעת מערכת שהמספר אינו מחובר), עוד לפני שנכנסתי לקישור היה ברור לי שמדובר בפישינג או סקאם כלשהו, אבל אני תמיד נהנה לחקור (או לפחות לנסות, כי לא תמיד מה שיוצג כאן יעבוד) את המתקפה. אז יש לנו לינק ל-bit.ly, שימוש בשירותי לקיצור כתובות מתבצע מכמה סיבות:

1. קיצור הקישור חוסך תווים ב-SMS.
2. מקל בכתיבה ידנית של הקישור.
3. יכול לעזור במקרים מסויימים במעקף של תוכנות הגנה שמסתכלות רק ברמה הראשונה של הקישור (ולא עוקבות אחרי redirect).

20201112-phishing.mistakes-1720×1240 49.2 KB

שירותים כגון bit.ly תומכים בסופיות + או .info שיתנו עוד מידע על הלינק. אני אף פעם לא פותח את הקישורים הללו עם הדפדפן הרגיל שלי, תמיד משתמש ב-VM עם Tor, אי אפשר לדעת מה מחכה לנו ברגע שנכנס לקישורים.

20201112-phishing.mistakes-2739×398 40 KB

ברגע שנכנס לקישור נראה שמדובר בעמוד פישינג של PayPal, אפשר לזהות זאת בקלות על-ידי התבוננות ב-URL Bar, לא מופיע הכתובת של PayPal. העמוד פישנג לכשעצמו אינו מעניין יותר מדי, אני תמיד מחפש אחר טעויות שהתוקפים עושים, כמו לדוגמה השארת הקוד מקור על השרת. זה מאוד תלוי איך הפרצה התבצע, ובמקרה שלנו הקוד מקור נותר על השרת.

20201112-phishing.mistakes-3744×581 30.9 KB

20201112-phishing.mistakes-4756×655 46.2 KB

מבחינה של תוכן הקובץ זיפ ניתן ללמוד כי יש קובץ log.txt שמתעדכן עם רשימת האנשים שניגשו לאתר, אמור להיות גם קובץ בשם brimax.txt שמכיל יותר מידע, אבל משום מה הוא ריק. הקובץ לוג הכיל בזמן בדיקה כ-140 רשומות (מדובר בקמפיין ממוקד כנגד ישראלים), וכנראה הראשונות הן של התוקף (חשוב לבצע QA), ואם הכתבות אכן שייכת לו, זה אומר שהתוקף שלנו מאלג’יריה.

20201112-phishing.mistakes-5558×822 71.9 KB

אפשר גם לראות כי היוצרים הם קבוצה בשם L34K C0de, לא הצלחתי להבין בדיוק את הרקע שלהם (ערבי, איראני, טורקי?), הם משתמשים בדומיין sh33nz0.com (שגורם לי לחשוב שהם איראנים) בכדי לקבל עדכונים (באמצעות mail ולא http post או משהו בסגנון), זה למעשה backdoor בקוד, כי התוקף עדכן את הכתובת למשלוח דואר ל-unspeakablegaming1200@gmail.com, וגם על הכתובת הזו (או היוזר unspeakable gaming) לא הצלחתי למצוא יותר מדי מידע בזמן הקצר שהשקעתי בלנסות לדקסס.

מידע נוסף:

1. Twitter - Peterkruse - Active #phishing against…
2. Service.zip (2.4 מ״ב) [סריקה]
3. log.txt (11.2 ק״ב)
4. HSIL - עמודי דיוג

תותח, תודה על הפרסום והוספת הממצאים!
לפני כמה שבועות בדקתי גם פישינג כזה שקיבלתי ב-SMS. רציתי לפרסם פה את הממצאים אבל התעצלתי עד עכשיו והקדמת אותי
באופן כללי מצאתי ממצאים כמעט זהים למה שפירסמת כאן. ב-Kit שאני מצאתי היו עוד קבצים של קמפיינים נגד אתרים אחרים מלבד Paypal (נטפליקס, Apple, Office365 ואתרי בנקים אמריקאים).

אני זיהיתי בנוסף, מהסתכלות בקוד המקור(על פי הקבצים שהופיעו ב-Zip), מספר מנגנוני הגנה שהקמפיין משתמש בהם.

1. ציינת את עניין ה-Redirect כמנגנון הגנה מפני מערכות שלא עוקבות אחרי הפניות - זה נכון מאוד, אני זיהיתי בנוסף שהאתר משתמש במנגנון שמציג את דף הפישינג עצמו רק אם בוצע Redirect מ-Subdomain אחר של האתר.
   כך, האתר מגן על עצמו מפני מצבים בהם גולש שנכנס לפישינג מדווח על הלינק שלו. כשאיש אבטחת מידע ייכנס לקישור הזה, ללא ה-Redirect, הוא יראה דף ריק.
   אגב - לפני שגיליתי על המנגנון הזה, נפלתי בעצמי בפח. שלחתי למערך הסייבר הלאומי דיווח (מכיוון שהיה מדובר בקמפיין פישינג יחסית איכותי באופן יוצא דופן, אולי אכתוב על הסיפור הזה בהזדמנות) כולל קישור לדף הפישינג עצמו. הם נתקלו בדף לבן ולא טיפלו בנושא (אף על פי שכן הייתה ביכולתם לטפל)
2. קיימת רשימת כתובות IP (.htaccess) ו-User agents (ב-PHP) של שירותים כמו מקאפי, קספרסקי, הבוט של גוגל, ועוד (הרבה) שחסומים לגלישה לפישינג - להם מבוצע redirect לגוגל(בקמפיינים אחרים שנתקלתי בהם זה היה לאתרים אחרים בערבית).
3. בכל גישה לאתר מבוצעת בדיקה מול API חיצוני שבודק את ה-“Quality” של כתובת ה-IP של הגולש, בין היתר בהיבטים של האם הוא מקושר ל-VPN, TOR, ועוד. גולש שמקבל ציון נמוך לא יזכה לראות את הפישינג

במחקר שלי הגעתי למספר ממצאים שמעידים שהתוקף ממוקם באלג’יריה אבל לא הצלחתי להגיע לרמת וודאות גבוהה או להשיג פרטים נוספים.

בהזדמנות זו אשמח לשאול את החבר’ה פה -
כיצד אתם פועלים (בהיבט המיטיגציה) לאחר גילוי קמפיינים כאלו, אם בכלל?