This post is also available in: Português
Recentemente, Marcel Afrahim, pesquisador de segurança digital, postou em seu blog a descoberta de uma técnica que mostra como os domínios do Google App Engine podem ser utilizados maliciosamente para enviar phishing e malware sem seres detectados pelos principais produtos de segurança corporativa.
Mas você sabe o que é o Google App Engine?
Trata-se de uma plataforma de computação em nuvem para desenvolver e hospedar aplicações web na infraestrutura do Google. Inicialmente, foi lançado como versão preliminar em abril de 2008. É uma tecnologia no modelo plataforma como serviço.
Subdomínios ilimitados para um aplicativo
Normalmente, a operação dos cibercriminosos funciona da seguinte maneira: eles criam um aplicativo que recebe um subdomínio utilizando serviços em nuvem, onde suas páginas de phishing ficam hospedadas. Ou eles usam o aplicativo como um servidor de comando e controle (C2) para entregar a carga útil do malware.
As estruturas de URL são geradas de uma maneira que torna muito fácil monitorar e bloquear usando produtos de segurança corporativa, caso haja essa necessidade.
Quando um profissional de segurança digital, ou uma solução de segurança, detecta essa atividade, é possível bloquear o trafego vindo de determinado aplicativo, sem maiores problemas.
Porém, a situação torna-se mais complexa quando se trata do Google App Engine.
Afrahim identificou uma falha no gerador de subdomínio do Google App Engine, que pode ser explorada para usar a infraestrutura do aplicativo para fins maliciosos, dificultando a identificação.
Vejamos um exemplo:
O domínio appspot.com do Google, que hospeda aplicativos, tem a seguinte estrutura de URL:
VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com
Neste caso, um subdomínio não representa apenas um aplicativo, ele representa a versão de um aplicativo, o nome do serviço, o ID do projeto e os campos de ID da região.
Caso alguns desses campos esteja incorreto, o Google App Engine não mostrará a página de erro 404 não encontrado. Exibirá uma página padrão do aplicativo.
Segundo Afrahim:
“As solicitações são recebidas por qualquer versão configurada para tráfego no serviço direcionado. Se o serviço que você está almejando não existir, a solicitação será encaminhada por software.
Se uma solicitação corresponder à PROJECT_ID.REGION_ID.r.appspot.com, mas incluir um serviço, versão ou nome de instância que não existe, a solicitação será encaminhada para o serviço padrão, que segue por convenção o nome do host do aplicativo”.
Isso significa que há muitas permutações de subdomínios para chegar ao aplicativo malicioso do invasor. Contanto que cada subdomínio tenha um campo “Project_ID” válido, variações inválidas de outros campos podem ser usadas a critério do invasor para gerar uma longa lista de subdomínios, que levam ao mesmo aplicativo.
Google Trust Services
Um único aplicativo malicioso pode utilizar várias permutações de seus subdomínios, tornando mais difícil para os administradores de sistemas e profissionais de segurança digital bloquearem atividades maliciosas. E para os usuários pouco experientes e sem muito conhecimento nessa área, todos os subdomínios pareceriam um site seguro e legitimo, pois, o domínio appspot.com e todos os seus subdomínios vêm com o selo “Google Trust Services” em seus certificados SSL.
Certificado de segurança Google Trust Services.
Fonte: Afrahim, 2020.
A grande maioria das soluções de segurança corporativa permite automaticamente o tráfego para sites de categorias confiáveis. Ou seja, é visto como confiável pela maioria das soluções de segurança digital. O domínio appspot.com do Google ganha uma tag “Office/Business Application”, evitando analise e bloqueio de proxies.
A abordagem de bloqueio baseada em Indicadores de Compromisso (IOCs) acaba se tornando inútil por conta do grande número de variações de subdomínio.
Fonte: Afrahim, 2020.
A imagem acima trata-se de uma captura de tela feita por Afrahim e é um aplicativo de teste criado pelo mesmo.
“E agora você tem um script que baixa a carga útil de diferentes nomes de host de URL cada vez que é executado e tornaria o IOC de rede dessa amostra hipotética absolutamente inútil. As soluções que dependem de uma única execução em um sandbox para obter IOC automatizado, portanto, obteriam um novo IOC de rede e potencialmente novo IOC de arquivo se o script for um pouco modificado”, disse o pesquisador.
Yusuke Osumi, engenheiro de segurança e pentester, utilizou o Twitter na semana passada para dizer como uma página de phishing da Microsoft hospedada no subdomínio appspot.com estava explorando a falha de design que Afrahim detalhou.
O engenheiro fez uma lista com mais de dois mil subdomínios gerados dinamicamente pelo aplicativo de phishing – todos eles levando exatamente a mesma página de phishing.
Fonte: Yusuke Osumi – Twitter, 2020.
Isso mostrou como a falha do Google App Engine pode ser potencialmente explorada para campanhas de phishing.
Em conclusão, Afrahim diz:
“Use um kit de phishing do Google Drive e o usuário normal não perceberá que não é o Google que está pedindo credenciais”.
Ou seja, usuários comuns, que não tem um vasto conhecimento em tecnologia, entregariam seus dados de bandeja para os golpistas, pois não teria como saber que se trata de uma página de phishing.
–
Gostou desse artigo? Quer receber notícias e conteúdos diariamente direto no seu WhatsApp? Basta inscrever-se no OSTEC Push. É rápido e fácil:
Primeiro: Cadastre em seus contatos o número (48) 3052-8526 como “OSTEC Push“, assim você conseguirá receber as mensagens;
Segundo: Cadastre seu número de WhatsApp neste link.
Pronto! A partir desse momento você receberá os novos conteúdos.
Via: Medium e BleepingComputer.
This post is also available in: Português
