Понедельник, 18 января, 18:33
дома безопасность Google App Engine: используется для фишинговых кампаний.

Google App Engine: используется для фишинговых кампаний.

Исследователь безопасность открыл новую технику, которая показывает как можно неправильно использовать Google App Engine доменов для создания и доставки фишинговых страниц вредоносных программ. Однако больше всего беспокоит то, что этот процесс может происходить без того, чтобы его заметили самые известные продукты безопасности. В Google App Engine - один облачная платформа, предназначенный для разработки и размещения веб-приложений на серверах Google.

Google App Engine

Фишинговые кампании, использующие корпоративные облачные домены, являются обычным явлением. Однако, что касается Google App Engine, проблема в основном заключается в том, как создаются субдомены.

неограниченный поддомены для приложения

В большинстве случаев мошенники используют облако услуги создать вредоносное приложение, где назначен поддомен. Позже они там принимают фишинговые страницы или используйте злонамеренный приложение как командно-административный (C2) сервер для доставки вредоносного ПО.

Однако структура URL-адресов такова, что обычно позволяет продуктам корпоративной безопасности обнаруживать что-то вредоносное и блокировать его. Например, вредоносное приложение, размещенное на сервисах Microsoft Лазурный может иметь структуру: https: //example-subdomain.app123.web.core.windows.net /…

Эксперт безопасность он мог блокирует запросы к этому субдомену и из него, чтобы пользователи не могли посетить опасное приложение. Эта техника не помешает общению с другими приложений Microsoft Azure с использованием других поддоменов.

Но когда дело доходит до Google App Engine, все не так просто.

Исследователь безопасности Марсель Афрахим показали, как можно использовать и эксплуатировать создание субдомена в Google App Engine инфраструктура вредоносных приложений без обнаружения.

Домен appspot.com Google, на котором размещены приложения, имеет следующую структуру:

VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com

Поддомен в этом случае не представляет собой только одно приложение, а представляет версию приложения, имя обслуживание, поля идентификатора проекта и идентификатора региона.

Однако, если какое-либо из этих полей неверно, Google App Engine не будет отображать страницу «404 Not Found». Вместо этого отобразится страница приложения "по умолчанию". Этот процесс называется мягкая маршрутизация.

Запросы поступают от любой версии, настроенной для трафика в целевой службе. Если целевой сервис не существует, запрос становится мягко маршрутизированным.", - заявляет Афрахим, добавляя:"Если запрос соответствует разделу PROJECT_ID.REGION_ID.r.appspot.com имени хоста, но включает в себя несуществующую службу или версию, то запрос направляется в службу по умолчанию, которая, по сути, является именем хоста по умолчанию для приложения.».

По мнению экспертов, это означает, что они существуют. множество разновидностей поддоменов, которые приводят пользователя к злоумышленникам. Поскольку каждый поддомен имеет допустимое поле «project_ID», недопустимые варианты других полей (по желанию злоумышленников) могут использоваться для создания нескольких поддоменов, каждый из которых ведет к одному и тому же вредоносному приложению.

Афрахим показал, как следующие два URL-адреса, которые выглядят по-разному, представляют одно и то же приложение, размещенное в Google App Engine.

«Проверка службами Google» означает безопасность (?)

Тот факт, что пользователь может перейти к вредоносному приложению из множества разных поддоменов, затрудняет работу системных администраторов и экспертов. безопасность пытаюсь заблокировать такую ​​деятельность.

Специально для пользователей, у которых мало знаний, субдомены отображаются как "безопасный сайт". Кроме того, домен appspot.com и все его субдомены имеют отметку «Службы доверия GoogleВ своих сертификатах SSL, поэтому пользователи считают его действительно безопасным. И, как и в большинстве решений корпоративной безопасности, автоматически разрешать трафик на надежные сайты, домен appspot.com Google, получает отметку "Офисные / бизнес-приложения", Минуя контроль веб-прокси.

фишинг

Они уже сделаны фишинговые атаки с использованием Google App Engine

Согласно Спящий компьютер, специалист по безопасности и пентестер Юсуке Осуми сказал, что фишинговая страница, размещенная на субдомене appspot.com, воспользовалась преимуществами ошибка проанализирован Афрахимом.

Осуми также упомянул 2.000 поддоменов, созданных фишинговым приложением. Все поддомены ведут на одну и ту же фишинговую страницу.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Цифровая Крепость
Цифровая Крепостьhttps://www.secnews.gr
Осуществляйте свои мечты и живите!

ЖИВЫЕ НОВОСТИ

Android: как сделать Signal приложением для обмена сообщениями по умолчанию

Signal - популярное приложение для обмена зашифрованными сообщениями, ориентированное на конфиденциальность. Это альтернатива ...

Google Cloud: мы используем некоторые SolarWinds, но взлом нас не затронул

Директор по информационной безопасности Google Cloud Фил Венейблс сообщил, что в облаке используется программное обеспечение от поставщика SolarWinds, но заявляет, что использование ...

Служба охраны окружающей среды Шотландии: программы-вымогатели продолжают поражать нас

Шотландское агентство по охране окружающей среды (SEPA) подтвердило, что в прошлом месяце оно подверглось атаке вымогателей и продолжает сталкиваться с ...

В роутерах FiberHome обнаружены бэкдоры и уязвимости

В прошивке популярного маршрутизатора FiberHome FTTH ONT были обнаружены бэкдоры и многие другие уязвимости. FTTH ONT - это аббревиатура от Fiber-to-the-Home Optical Network ...

GitHub приносит свои извинения уволенному сотруднику! Что случилось;

GitHub признал, что было неправильно увольнять еврейского чиновника, который сделал «антинацистские» комментарии по поводу беспорядков в Капитолии.

К 2030 году ИИ заменит людей кибербезопасности

Компания по безопасности Trend Micro недавно провела новый опрос, который показал, что более двух пятых (41%) ИТ-руководителей считают ...

Китайский Winnti APT нацелен на организации в России и других странах!

Исследователи в области безопасности из Positive Technologies раскрыли серию атак, осуществленных китайской командой хакеров APT, нацеленной на организации в России ...

Кремниевая долина вкладывает огромные деньги в Индию

С марта по ноябрь, даже когда COVID-19 разрушил экономики по всему миру, самый богатый человек в Индии ...
00: 02: 01

Microsoft, Salesforce и Oracle разрабатывают цифровой паспорт вакцинации

Цифровой паспорт вакцинации Covid разрабатывается совместно группой медицинских и технологических компаний, а также правительствами, авиакомпаниями и ...

Google удаляет Chrome Sync из сторонних браузеров

Google заявляет, что заблокирует использование частных API Google сторонними веб-браузерами Chromium после обнаружения этого ...