原创 天元实验室 M01N Team
M01N Team
微信号 m01nteam
功能介绍 攻击对抗研究分享
__
收录于话题 #攻击技术研判 ,12个
情报背景
在日益发展的电子邮件网关安全策略下,部分邮件网关会对文档中的外部链接进行限制和审查。在这种情况下,利用Google的公共服务进行钓鱼操作,绕过邮件网关的审核已不鲜见。
近期Cofense网络钓鱼防御中心发现了一种新的邮件钓鱼方式,利用Google翻译等服务绕过电子邮件安全网关并实现投放,本文将对本次攻击中攻击者利用Google翻译服务绕过电子邮件网关的方法进行分析研判。
组织名称
|
未知
---|---
组织编号
|
未知
关联组织
|
未知
相关工具
|
无
战术标签
|
初始访问
技术标签
|
钓鱼 邮件网关绕过
情报来源
|
https://cofense.com/blog/google-translate-phish/
01 攻击技术分析
亮点:利用Google翻译绕过反病毒和电子邮件安全策略
如图所示,在钓鱼文件中含有伪装为Google drive 的链接,这是一种常见的钓鱼手法,将钓鱼邮件伪装为 Google Drive的文件分享邮件。
在上图的链接中,https://urldefense.proofpoint.com/ 这部分链接,是proffpoint安全公司对电子邮件的外部链接进行审查时的操作。该公司的邮件网关会对外部链接进行重写,访问链接前先与该安全公司进行核对判断是否是恶意链接,进行审核与阻断。攻击者利用Google翻译这样的云服务,成功绕过该邮件网关对恶意邮件外链的检测。
如下图,该链接实际指向谷歌翻译中的攻击者网站伪装成加密保护的Google sheet。使用户预览模糊的文档内容诱骗受害者输入凭据,从而窃取受害者的账户密码。
类似Google翻译,国内的翻译网站也具备页面翻译的功能,用户能与原始页面交互输入内容,因此也有可能被钓鱼攻击利用以绕过邮件网关安全策略。
02 总结
利用Google drive等可信云服务绕过电子邮件网关的安全策略,已是一种常见的钓鱼攻击手法。本质上是利用高可信度的云服务,绕过基于可信域名的安全策略。本次攻击中,攻击者通过Google翻译服务访问第三方钓鱼网站的利用方式和思路,值得安全攻防人员关注与防范。
绿盟科技M01N战队 专注于Red Team、APT等高级攻击技术、战术及威胁研究,涉及Web安全、终端安全、AD安全、云安全等相关领域。通过研判现网攻击技术发展方向,以攻促防,为风险识别及威胁对抗提供决策支撑,全面提升安全防护能力。
M01N Team
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队
预览时标签不可点
收录于话题 #
个 __
上一篇 下一篇
阅读
分享 收藏
赞 在看
____已同步到看一看写下你的想法
前往“发现”-“看一看”浏览“朋友在看”
前往看一看
看一看入口已关闭
在“设置”-“通用”-“发现页管理”打开“看一看”入口
我知道了
__
已发送
取消 __
发送
攻击技术研判|利用谷歌翻译绕过电子邮件安全策略
最多200字,当前共字
__
发送中
写下你的留言
微信扫一扫
关注该公众号
微信扫一扫
使用小程序
取消 允许
取消 允许
知道了
长按识别前往小程序
: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看