HOME > 解決方案

使用 Splunk 調查 GSuite 網路釣魚攻擊

2021/10/22


惡意行為者不斷尋找新方法來遞送惡意裝載。隨著最近企業轉而採用以 Web 應用程式為基礎的服務,檔案儲存、電子郵件、行事曆和其他管道已經成為遞送惡意程式碼和裝載的重要手段。在某些情況下,這些服務會被濫用為命令和控制 (Command and Control) 的基礎架構,因為許多企業預設信任它們。 

Splunk 威脅研究團隊 (STRT) 最近觀察到使用 GSuite Drive 檔案共用成為網路釣魚媒介的網路釣魚活動。惡意行為者建立了一個與許多帳戶共用的文件,其檔案描述中宣稱來自一家知名金融機構。這份文件還使用知名金融機構和知名加密貨幣組織的官方標誌來試圖欺騙受害者。




此外,該文件內部有一個惡意連結,會將使用者帶往惡意網站。這個透過檔案共用遞送惡意裝載的範例,正是惡意行為者如何使用 Web 型服務傳遞惡意裝載的一個例子。 
初始存取
即使設定了來源網域限制,這些類型的攻擊也很難偵測,因為實際上我們不可能擋下每個可疑的惡意網域共用檔案。此外,在使用 Google Suite 遞送裝載時,惡意行為者通常會避免觸發電子郵件通知。如此一來,當使用者在他們的 Google Drive 中發現檔案時,他們可能會認為是由認識的人共用的,然後點按惡意檔案。 
 



惡意行為者還可以結合多個傳送媒介來引導受害者觀看如下畫面所示的檔案。


這些惡意裝載的臨時伺服器會偵測使用者目前的作業系統。然後,裝載會根據受害者的平台快速切換類型。 

最初遞送的文件大多數會直接送達受害者手中。攻擊如果會成功,受害者還必須輸入敏感、已洩露的資訊,例如密碼、權杖或其他驗證應用程式發送給他們的代碼。攻擊者通常是透過網路釣魚網站使用如 evilginx2 或 King Phisher 等流行的工具取得這些資訊。
偵測的挑戰
由此可知,即使設置了來源網域、服務提供商、文件類型甚至郵件分析等限制,也不太容易偵測到這些網路釣魚攻擊。這種類型的攻擊必須使用一個現成的日誌基礎架構以擷取 Gsuite 日誌,並經過設定以查看以下元素:
https://developers.google.com/admin-sdk/reports/v1/appendix/activity/drive 


例如,上述欄位可以顯示文件具有哪種類型的存取權限 (public_in_the_domain 或 public_on_the_web) ,並且可以顯示大量的目標使用者。攻擊者還可以鎖定特定使用者來避免製造噪音並和多個使用者共用文件,使其更為棘手。可見度不是一個明確的指標;但是在調查此類攻擊時會有所幫助。



此外,有兩個有趣的欄位可以提供重要資訊,分別是 owner 和 target_user。 

惡意行為者可以透過建立 gsuite 帳戶來發送電子郵件或共用文件,以混淆通信的來源。這就是為什麼有時看到大量的檔案共用或行事曆邀請,尤其是包含網路釣魚相關術語時,就表明其具有惡意的原因。 

以下是一個搜尋範例,用於調查某人何時共用 Google 雲端硬盤、哪些人共用了它,以及在公司網域內的 Google 雲端硬盤中共用的內容





我們可以透過查看 parameters.target_user (共用文件的使用者)、文件類型 (parameters.doc_type) 或文件標題 (parameters.doc_title) 來進一步調整這個搜尋。我們在許多觀察到的活動中,看到不法分子大量共用這些惡意文件。我們可用上述參數進行搜尋,並為共用該文件的使用者數量設定一個評量基準。


上述搜尋還可以再精細調整,以鎖定特定的使用者。 

在下面的搜尋中,我們可以查看特定使用者是與一個人還是多人共用文件。 




我們還可以解決其他 GSuite 網路釣魚的使用案例,例如透過惡意行事曆邀請進行網路釣魚。在這個使用案例中,攻擊者透過 Google 行事曆發送多個邀請,這些邀請經常包含活動標題甚至附件。在這種情況下,惡意行為者會大量發送行事曆邀請。



上面是個明顯的例子,說明我們如何能夠看到由外部網域針對特定使用者進行邀請,例如 parameters.target_calendar_id 的數量、事件標題 (parameters.event_title)、邀請數量,和 “name” 欄位中包含如 add_event_guest 或 create_event 等事件的資訊。 

這些搜尋會有助於判斷這是否為魚叉式或針對性網路釣魚,但還需要進一步分析和補強偵測,以縮小對攻擊來源的搜尋範圍。 





很重要的是,這些搜尋必須視特定環境和偵測所得的特定發現進行調整,然後根據時間範圍、子網域或組織單位自訂搜尋政策。 

以下是我們在研究攻擊者透過 G Suite 中使用魚叉式網路釣魚攻擊時,發展出來的其他網路釣魚異常偵測。
包含可疑附件的 G Suite 電子郵件
這個異常使用案例還可利用 gmail 的 gsuite 日誌來捕獲附件中包含可疑的可執行檔 (.exe、.dll、.com 等) 和指令檔 (.py、.pl、.js、.vbs 等) 的電子郵件。有時,攻擊者會使用如 “退稅.pdf.exe” 等雙重副檔名的手法來引誘使用者點擊附件。



在將這類檔案傳送到目的地之前將其存檔是一種很好的做法,可避免發生意外狀況,並有助於減少這個使用案例出現。
包含可疑主旨或共用檔案名稱的 G Suite 電子郵件
在此偵測中,我們將重點放在魚叉式網路釣魚攻擊使用的常見社交工程媒體,例如作為誘騙受害者上當的訊息主旨。惡意行為者使用包含內容的訊息主旨,吸引受害者點開附件 (doc、xls、ppt、zip、rar 等)。常見的網路釣魚手法包括使用顯示緊急情況 (必須採取行動)、可信任 (主體已知或信譽良好的實體) 或來自權威對象 (政府、執法部門) 的消息。 




在上面畫面中,我們可以看到一件模擬事件,其中外部電子郵件使用常見的社交工程主旨範例 “交貨訂單電子郵件確認” 來引誘使用者打開附件。

另一種可能的手法是在 Google Drive 中共用一個惡意文件,而檔案名稱與這種社交工程方法有關,試圖誘騙使用者打開它並執行惡意程式碼。


在上面搜尋中,您可以看到如何偵測一起可疑的檔案共用詐騙。該詐騙從一個外部帳戶傳送假的 “Fedex 快遞” 電子郵件到被鎖定的組織電子郵件帳戶。您會注意到 gsuite 日誌如何透過檢查附件的 doc_type、來源電子郵件和 target_user 為我們提供有價值的資訊。
包含已知濫用網路服務連結的 Gsuite 電子郵件
在這個使用案例中,我們會搜尋和特定組織電子郵件帳戶進行通訊的外部 Gmail 帳戶。我們還檢視是否有和網路釣魚相關物件的存在,例如 pastebin、discord、telegram 等網站,或是惡意軟體行為者用來傳送惡意裝載的其他網路服務。這個搜尋確實有可能會建立一些標準資料,視目標組織的白名單政策而定。 




偵測和防禦
以下偵測可解決使用 GSuite 檔案共用和 GSuite 行事曆邀請,以及用 Gmail 郵件和附件進行網路釣魚的情況。這些偵測均被列入被稱為 DevSecOps 的最新 Analytic Story。 

 
偵測 Mitre TTP 備註 Mitre D3fend
G Suite 電子郵件可疑附件 T1566 偵測與攻擊者在魚叉式網路釣魚中常用的可執行指令檔副檔名相關的可疑檔案附件。 偵測 
D3-DA (動態分析)
D3-UA (網址分析)
D3-FCR (檔案內容規則)
*減緩
M1017使用者培訓
包含附件的 Gsuite 電子郵件可疑主旨 T1566 偵測包含可疑主旨的 Gsuite 電子郵件,該郵件的附件中包含已知用於魚叉式網路釣魚的文件檔案類型。 偵測 
D3-DA (動態分析)
D3-UA (網址分析)
D3-FCR (檔案內容規則)
*減緩
M1017使用者培訓
Gsuite 可疑共用檔案名稱 T1566 偵測 Google Drive 中使用魚叉式網路釣魚活動常用的可疑檔案名稱的共用檔案 偵測 
D3-DA (動態分析)
D3-UA (網址分析)
D3-FCR (檔案內容規則)
*減緩
M1017使用者培訓
包含已知濫用網路服務連結的 Gsuite 電子郵件 T1566 偵測包含已知被惡意軟體或攻擊者 ( pastebintelegram discord) 濫用以傳遞惡意裝載連結的 gmail 偵測 
D3-DA (動態分析)
D3-UA (網址分析)
D3-FCR (檔案內容規則)
*減緩
M1017使用者培訓

作者群
我們感謝以下人員對這篇文章的貢獻。
•    Teoderick Contreras
•    Rod Soto


作者
Splunk 威脅研究團隊
 
Splunk 威脅研究團隊透過使用案例、偵測搜尋和劇本等經過驗證的研究和安全內容來增強 Splunk 安全產品,在客戶的整體防禦策略中扮演積極的角色。我們透過提供戰術指導和深入資訊來偵測、調查和應對最新威脅,幫助全球各地的安全團隊加強營運能力。Splunk 威脅研究團隊專注於了解威脅、攻擊者和漏洞的工作原理,並會將攻擊複製成資料集儲存在攻擊資料存放庫中。 

我們的目標是為安全團隊提供他們可以在日常營運中利用的研究,並成為 SIEM 偵測的業界標準。我們是一個由業界公認的專家組成的團隊,我們鼓勵他們透過會議演講、開放原始碼專案以及撰寫白皮書或部落格,和社群分享我們的工作來改善安全行業。您還能在 Defcon、Blackhat、RSA 等會議上看到我們展示最新的研究成果。