• 我们在哪一颗星上见过 ,以至如此相互思念 ;我们在哪一颗星上相互思念过,以至如此相互深爱
  • 我们在哪一颗星上分别 ,以至如此相互辉映 ;我们在哪一颗星上入睡 ,以至如此唤醒黎明
  • 认识世界 克服困难 洞悉所有 贴近生活 寻找珍爱 感受彼此

红:URL重写

红蓝对抗 云涯 4个月前 (08-28) 286次浏览

概念

URL重写是用修改后的URL替换原始URL,以保护用户免受电子邮件中嵌入的恶意链接的侵害。这些链接首先将收件人引导至供应商的服务器,然后由供应商来检查原始URL是否存在威胁。如果认为安全则重定向到原始URL。

URL重写有两种方式:

  1. 利用先前发现的威胁规则和签名,但这种方法存在滞后性,往往零号受害者提交之后才能掌握该情报
  2. 利用计算机视觉和机器学习等技术扫描链接,这种方式不依赖威胁情报数据库,还会实时评估URL的行为。

有时,组织者会使用这两种方式,将两层重写链接实现嵌入,实现双重重写。

滥用URL重写

攻击者可以入侵电子邮件安全提供商以修改URL或者入侵被标识为安全的电子邮件账户,然后向自身发送“钓鱼邮件”,不过钓鱼邮件会被设定为“稍后将被清除的钓鱼邮件”,这样躲避URL检查。随后该钓鱼链接将被添加安全供应商的域名前缀或后缀,成为了合法的URL链接。一些电子邮件安全服务为了节省资源,还会将其加入到白名单,或者只在最初的时候检查一次。

随后,这个URL就会被重写,攻击者会修改URL的目标,重定向到钓鱼网站。总之关键点就是欺骗URL重写和URL修改。

当然,随着网络钓鱼的发展,还有其他方法。

双重重写攻击

示例

攻击者发送了一封电子邮件,包含重写的网络钓鱼链接,伪装成合法的服务。

此电子邮件的URL第一次经过  Proofpoint 的安全系统 (urldefense.proofpoint.com) 重写,然后经过 INKY 的第二次重写。

CAPTCHA绕过:如果目标点击链接,将被引致 CAPTCHA页面。添加此步骤是为了逃避供应商自动分析/威胁情报检查。

最终重定向:解决 CAPTCHA后,用户将被重定向到钓鱼页面。

利用重写URL攻击多个目标

示例

攻击者入侵了受到双重重写URL保护的组织,使用被入侵的账户生成重写URL,然后利用此链接来攻击其他组织。

利用 Mimecast 的 URL 重写

网络钓鱼链接被 Mimecast 的 URL Protection 服务重写,使其看起来像一个安全的 URL(mimecastprotect.com)。然而,最终目的地是一个旨在窃取凭据的网络钓鱼网站(ycnrw8.com)

通过 Sophos URL 重写进行 IRS 网络钓鱼攻击

钓鱼邮件伪装成来自合法组织(ID.me + IRS)的紧急验证请求。邮件中的 URL 被 Sophos 重写,增加了一层合法性。

攻击者利用 Sophos 提供的重写 URL(protection.sophos.com)来掩盖实际的网络钓鱼目的地。由于 Sophos 域的存在,该 URL 看似安全,使收件人难以识别威胁。

 

 

 


云涯历险记 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:红:URL重写
喜欢 (0)