一次胜利利用了类似域的精准BEC进击 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

一次胜利利用了类似域的精准BEC进击

申博_安全防护 申博 58次浏览 已收录 0个评论

一次胜利利用了类似域的精准BEC进击

9月9日,汽车零部件制造商丰田纺织(Toyota Boshoku Corporation)报告了一同BEC欺骗(贸易邮件欺骗,Business Email Compromise,简称BEC),个中一家欧洲子公司丧失了凌驾3700万美圆。BEC进击异常轻易胜利,因为敲诈者一般会郑重挑选进击目标,比方牢靠的营业协作伙伴或公司的CEO。BEC进击主要依赖于社会工程学,向特定目标发送垂纶邮件,到达进击目标。

设想一下,如果你是一家始创公司的老板,正在守候一百万美圆的种子轮融资,但它却从未出如今你的银行账户上。再或许,如果你是一家风险投资公司的老板,你以为本身已将投资基金转到投资协作中的另一家始创公司,但这些资金却从未出如今对方的账户中。

以下是本年早些时候由Check Point突发事宜应对团队(CP IRT)观察的一个实在案例

一家中国风险投资公司被他们的转账银行提示,他们近来的一笔网络生意业务有问题。仅仅几天后,中国风险投资公司的对象,即一家年青的以色列始创公司也发明,他们没有收到100万美圆的种子基金。两边电话查对后,很快意想到他们的钱被盗了。

在查找缘由的历程当中,他们注重到两边之间的邮件发作了一些新鲜的事变,因为一些邮件被修改了,有些以至都不是他们亲身写的。

在Check Point接入观察后,研究人员一开始以为这只是一个一般的商务邮件进击(BEC),但经由历程细致观察,发明事变并没有表面上那末简朴。

CP IRT网络并剖析了可用的日记、电子邮件和相干的PC。

在证据网络阶段,CP IRT面临3个应战,这是任何一个面临客户的事宜相应者都邑碰到的。

一次胜利利用了类似域的精准BEC进击

客户的邮箱位于GoDaddy的电子邮件服务器上,毫无疑问,该服务器没有供应任何有助于观察的信息。

别的,审计日记只显示到服务器的末了五次登录,而且一切这些信息都是关于以色列始创公司员工的。研究人员发明,如果用户帐户是在以色列方面被损坏,他们大概没法肯定进击者登录确实切时候或使用了哪一个IP。

研究人员必需追踪原始邮件,如许才观察邮件标题。因为研究人员只要这些邮件的截图(来自手机),他们决议网络一切在原始线索中抄送的人的邮箱档案。经由历程从截图中搜刮症结字,我们能够找到原始邮件。

剖析历程

如今研究者有了原始的电子邮件,经由历程这些材料,就能够看到进击者是怎样实行此次进击的。

明显,就在这笔钱被盗的几个月前,进击者就注重到一个电子邮件的内容,该内容就包含启动数百万美圆的种子基金。

因而进击者决议注册两个新的相似域,而不是像一般的BEC进击那样,仅仅经由历程建立一个自动转发划定规矩来监控电子邮件。

一次胜利利用了类似域的精准BEC进击

能够看出,第一个域名与以色列的启动域名本质上是一样的,然则在域名的末端增加了一个分外的“s”。第二个域名和中国风投公司的很像,然则也在域名背面加了一个“s”。

渗透技巧——使用远程桌面协议建立通道

0x00 前言 最近从@cpl3h的博客中学到了使用远程桌面协议建立通道的方法。 本文将对这个方法进行整理,结合自己的经验,添加个人理解。 学习地址: https://ijustwannared.team/2019/11/07/c2-over-rdp-virtual-channels/ 0x01 简介 本文将要介绍以下内容: · 使用场景 · 使用共享文件建立通道 · 使用rdp2tcp建立通道 · 使用UniversalDVC建立通道 · 利用分析 · 防御建议 0x02 使用场景 由于防火墙的设置,只能连接一台Windows服务器的远程桌面,那么如何以这台Windows服务器为跳板进入内网。 简要描述如下图: 0x03 使用共享文件建立通道 通过读写RDP Client和RDP Server之间共享的文件作为数据传输的通道。 POC: https://github.com/outflanknl/external_c2 这是根据Cobalt Strike中External C2规范编写的POC。 实现原理: 建立远程桌面连接时,

然后,进击者发送了两封标题与原始邮件雷同的邮件。第一封电子邮件是从一个相似于以色列的域名发送给这家中国风投公司的,它捏造了这家以色列始创公司首席执行官的电子邮件地址。

第二封电子邮件是从中国风投公司的域名发送给这家以色列始创公司的,该域名捏造了处置惩罚该投资的风险投资客户经理。

经由历程已上剖析,能够很明显看到,这类就是典范的中间人(MITM)进击。两边发送的每封电子邮件实际上都是发送给进击者的,进击者然后检察电子邮件,肯定是不是须要编辑任何内容,然后将电子邮件从相干的相似域转发到其原始目标地。

在全部进击历程当中,进击者向中国投资方面发送了18封捏造的电子邮件,向以色列方面发送了14封捏造的电子邮件。进击者的耐烦、对细节的注重和优越的侦探使此次进击胜利。

在进击时期,中国公司和这家以色列始创公司的首席执行官一度设计在上海碰面。在末了一刻,进击者向两边发送了一封电子邮件,取消了集会,为他们没法晤面供应了差别的托言。

如果没有进击者的这一症结行动,全部操纵大概会失利。如果要举办集会,那在集会时期,将请求帐户一切者考证一切的银行帐户的款是不是到账。如果如许,那进击无疑就穿帮了,因而,进击者会采用步伐确保这类状况不会发作,这说明进击者的履历异常丰富。

一次胜利利用了类似域的精准BEC进击

更恐怖的是,在发作了如许的偷窃以后,进击者并没有收手的意义,而是继承勤奋,试图举行新一轮的风险投资欺骗。能够从下图中看到,这位以色列首席财务官在被欺骗后每个月还会收到一封电子邮件,请求他举行网络汇款。邮件内容以下:

一次胜利利用了类似域的精准BEC进击

减缓步伐

1.自动阻挠:电子邮件是迄今为止对贸易网络举行进击的第一大序言。垂纶邮件会诱惑用户暴露他们的构造证书或点击一个歹意链接/文件是电子邮件进击的头号要挟,企业必需配有电子邮件平安解决方案,旨在防备这类进击自动应用不断更新的平安引擎。

2.教诲你的员工:最主要的是,对员工举行恰当的、延续的教诲,让他们相识电子邮件进击的要挟。

3.当处置惩罚网络生意业务时,一定要增加二次考证,无论是打电话给请求汇款的人照样打电话给接收方。

4.确保你的电子邮件托管服务器最少能够追述六个月之内的考核和接见日记,在启动形式下,经由历程平安性和日记纪录来疾速构建基本架构很轻易。

5.在处置惩罚可疑或已确认的网络平安事宜时,要尽大概多地猎取证据,删除证据只会协助进击者。别的,实时捕捉事宜发作时的证据还能够确保主要的日记和证据不会被掩盖。

6.应用一种东西来辨认与你本身的域名相似的新注册域名。

7.提早准备好事宜相应设计和战术IR脚本!在危急发作前知道该做什么能够简化相应运动,削减弥补所需的时候。

关于电子邮件平安性,Check Point基于人工智能的平安性引擎包含一个高等的反网络垂纶引擎,该引擎依赖于行动剖析,旨在防备与该案例相似的准确进击。

本文翻译自:https://www.cybereason.com/blog/the-higher-ed-security-challenge


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明一次胜利利用了类似域的精准BEC进击
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址