背景
虽然许多安全研究和分析都集中在主动的、破坏性的攻击上,如勒索软件或国家指示的间谍活动,但就财务成本而言,计算机促进的欺诈仍然是大多数组织最具影响力的威胁之一。虽然欺诈的种类很多,但目前最普遍的是商务邮件妥协(BEC)。在BEC事件中,欺诈者寻求破坏或破坏组织与供应商、供应商或其他可能有财务或类似关系的实体之间的信任关系。
恶意实体有多种途径可以破坏信任关系来执行BEC活动:
- 利用实体的漏洞捕获合法的电子邮件通信,以欺骗或注入到现有的对话中。
- 以一个可能值得信任的实体的姿态发起通信,以建立导致金融交易的信任。
- 利用各种沟通机制的组合——比如将电子邮件和电话结合起来,给受害组织的人员打电话——既能建立信任,又能提高事情的紧迫性。
总的来说,目标是一样的:在受害者一方建立信任和信心,导致最终的欺诈性金融交易。虽然BEC活动在本质上看起来是非技术性和“不复杂”的,但它会导致重大的经济损失。最近的报告表明每次BEC活动的平均费用超过80,000美元,受害者的总损失超过20亿美元在2020年。
虽然有多种途径可以实现与bec相关的活动,但本文的其余部分将侧重于通过域名注册欺骗合法实体。尽管在没有查看实际邮件的情况下,很难将注册活动与欺诈直接关联起来,但分析基础设施特征可以揭示与bec类行为一致的趋势,并识别可能的恶意基础设施。
它从一个域开始
DomainTools研究人员发现了2021年4月下旬创建的一个有趣的域名,欺骗了合法的工业供应公司乐动体育官网下载格兰杰:
而域,graianger[。]com与2014年的历史托管数据有关,该项目一直处于休眠状态,直到2021年4月19日重新注册。在进行分析时,该域名重定向到一个“停车”IP, 193.239.84[。207,它与一千多个其他域名相关联。乍一看,这个项目似乎是不活动的或惰性的—除非进一步研究DNS记录确定一个邮件交流(MX)与第三方邮件提供者关联的记录MailHostBox.
虽然在这个阶段没有“确凿的证据”存在明确地将该域与恶意活动联系起来,但这样做的一些先决条件是满足的:
- 创建一个网络项目,欺骗一个组织,受害者可能与该组织进行一些金融交易和关联通信。
- 虽然该域对于HTTP/HTTPS目的仍然有效地没有托管(例如,没有感兴趣的活动网页),但通过第三方提供商,该域确实有一个活动的MX记录,可以发送和接收电子邮件。
在上述情况下,欺诈行为人可以冒充合法工业供应商向受害者发送“发票”或“采购订单”主题的信息。虽然工业供应商不会因为这一行为而受到损害(除了潜在的名誉损失),但违反或颠覆隐含的卖方-买方信任可能会导致后续的欺诈金融交易。
为了获得有关活动的更多上下文,我们可以探索域的特征——将其视为一个复合网络对象-更好地理解这些条目是如何创建的,以及潜在的识别链接注册。
选择器扩展
正如上面欺骗域的原始截图所示,有几个观察结果可以用来寻找链接的基础设施:
- 注册邮箱:mcdonaldservice[AT]gmail[.]com。
- 一个注册者的名字,“马克·格拉比尔。”
- 注册组织“麦当劳服务公司”。
使用DomainTools虹膜调查平台,我们可以快速识别包含249个附加域的列表,这些域共享附录a中列出的一个或多个这些观察结果,除了识别附加指标之外,我们还揭示了给定角色如何注册、托管和潜在使用基础设施的更多基本方面。虽然我们在这个过程中发现了新的离散观察结果可以用于即时防御,但这种类型的种习惯旋转还能让我们理解面向未来的防御行为。
虽然存在一些潜在的变化,但大多数记录集中在下列特征:
- 使用PublicDomainRegistry注册器创建域。
- 与任一foundationapi[.]的关联。com或monovm[.]com作为权威的名称服务器。
- 典型托管在与M247 Europe SRL、Confluence Networks或YHC公司相关的域“停车”位置上。
- MailHostBox第三方电子邮件托管服务的典型用法。
- 与以下电子邮件地址的关联:mcdonaldservice[AT]gmail[。com, mark.grabill001[在]gmail[。[AT]gmail.com, m.ilenradumilo[AT]gmail[.]或bmillner129[AT]gmail[.]com。
同样,尽管在识别的数据集中,上述观察结果有一些例外,但前面列出的项目占观察到的域的80%以上。从这些更一般的特征中,我们可以通过DomainTools Iris应用更精细的搜索来挖掘更多的观察结果,并提高我们对这个特定实体或参与者如何创建网络基础设施的理解。
上面的关系——包括异常值和变量——可以在以下DomainTools Iris可视化中看到:
揭露可能的竞选活动
利用上一节中描述的这些特征,我们可以识别超过6000个附加域,这些域具有这些可观测值的组合。更重要的是,通过一些调查和进一步的分析,明确的“主题”出现了,这些主题可能代表了活动的类型、诱惑,甚至是欺诈活动的特定目标。
工业供应公司
引发此次调查的最初项目与一家位于美国的工业供应公司有关。乐动体育官网下载对域名列表的进一步审查发现了其他几个类似活动的例子:
| 可疑的域 | 可能被欺骗的实体 |
|---|---|
| beckeelectric。com | 贝克电力(beckelectric.com) |
| colonailelectric。com | Colonial Electric (Colonial electric.com) |
| dililonsupply。com | Dillon Supply (dillonsupply.com) |
| dilllonsupply。com | Dillon Supply (dillonsupply.com) |
| eaton-us。com | 伊顿公司(eaton.com) |
| eliottelectricsupply。com | 埃利奥特电气(elliottelectric.com) |
| fatesnal。com | . (fastenal.com) |
| franklinelectrics。com | 富兰克林电气(franklin-electric.com) |
| graianger。com | 格兰杰(grainger.com) |
| hdssupply。com | 家得宝供应(hdsupply.com) |
| johnosoncontrols。com | 江森自控(johnsoncontrols.com) |
| pttsupply。com | 电力和电话供应(ptsupply.com) |
有可能使用这些域对受欺骗的组织进行网络钓鱼,作为获得对这些环境的初始访问权的手段。然而,考虑到注册实体到目前为止的整体特征,更有可能的情况是欺骗这些不同的工业供应商,目的是发送假发票或其他信件,导致向恶意行为者支付款项。上面的名单很广泛,从跨国工业组件制造商到多元化的国家供应公司,再到区域性的电气组件销售商。同样,这种活动的风险将从非常大的组织,如大型制造商或工业实体,扩展到较小的承包商或专业制造企业。
美国政府机构
在欺骗各种国家、州和地方政府当局时,出现了一种类似的广泛的、地理上不同的(尽管只关注于美国)域创建模式:
| 可疑的域 | 可能被欺骗的实体 |
|---|---|
| azdoa-gov。org | 亚利桑那行政学系 |
| das-nh-gov。org | 新罕布什尔州行政服务部 |
| das-nhgov。org | 新罕布什尔州行政服务部 |
| delaware-gov(。) | 特拉华州政府 |
| dfa-arkansas-gov(。) | 阿肯色州财政和行政部门 |
| dgs-ca-gov(。) | 加州总务处 |
| dhs-state-il(。) | 伊利诺伊州公共服务部 |
| dir-tx-gov(。) | 德克萨斯州信息资源部 |
| dms-my-florida。com | 佛罗里达管理服务部 |
| gsa-gov。org | 美国总务管理局 |
| mmd-admin-state-mn(。) | 明尼苏达州国家采购办公室 |
| nasssaucountyfl。com | 佛罗里达州的拿骚县 |
| nebraska-gov。org | 内布拉斯加州政府 |
| njstart-nj-gov。org | 新泽西州购买和财产部 |
| oa-mo-gov(。) | 密苏里州行政办公室 |
| ohio-gov(。) | 俄亥俄州政府 |
| omes-ok-gov。org | 俄克拉荷马州管理和企业服务办公室 |
| state-de(。) | 特拉华州政府 |
| tarannttcounty。com | 德克萨斯州塔伦特县 |
| tn-gov(。) | 田纳西州政府 |
| vita-virginia-gov(。) | 弗吉尼亚州信息技术署 |
| wyo-gov(。) | 怀俄明州政府 |
虽然在上面的列表中有一些通用的、州级的域,但观察到的重点是与采购、采购或IT服务相关的项目。从实施欺诈的参与者的角度来看,当开始与企业、承包商或类似实体进行通信时,这些代表了模拟政府采购当局的理想实体。虽然DomainTools不幸没有与上述项目相关的特定电子邮件的例子,但可能使用上述任何一个将是模拟给定的机构,同时试图收回成本,协调账单,或执行一些其他财务活动。
教育机构
最后,DomainTools的研究人员在模仿项目列表中注意到一些教育机构:
| 可疑的域 | 可能被欺骗的实体 |
|---|---|
| maricopa-edu(。) | 马里科帕县(AZ)社区学院 |
| marionsschools。净 | 马里昂县(GA)学区 |
| procurement-utoronto(。) | 多伦多大学 |
| schoolhaelth。com | 教育机构卫生用品供应商 |
| ucsc-edu。org | 加州大学圣克鲁斯分校 |
| umn-edu(。) | 明尼苏达大学 |
| unf-edu。org | 北佛罗里达大学 |
| unfedu。org | 北佛罗里达大学 |
| unimanchester[]英国有限公司(。) | 曼彻斯特大学 |
| uniwestminister[]英国有限公司(。) | 威斯敏斯特大学,伦敦 |
| virgina-edu。org | 弗吉尼亚大学 |
| wisc-edu(。) | 威斯康星大学 |
类似于上述政府欺骗实体,这些教育项目可以用于各种目的。然而,考虑到注册的总体特征和细节,可能的申请将被注入到现有的或开始新的关于潜在成本和付款更正的对话中,导致资金从已经与机构有合法关系的企业、供应商或承包商转移到欺诈实体。
含义和辩护
总的来说,识别的域集合利用公共注册和通信技术来破坏各种类型的供应商和客户之间的现有信任关系。虽然表面上在技术意义上并不复杂,但所需的组织理解、社会工程和受害者的最终成本的结合使这类事件非常成问题。更让防御者担心的是,这类事件不需要利用恶意软件或武器化文档等明显恶意的项目来发挥作用——只要邮件被发送并得到回应,负责的欺诈者就可以开始建立信任,从而促成金融交易。
响应或减轻此类事件的一种潜在机制是通过实时、快速丰富观察结果来确定它们何时与恶意模式匹配。例如,利用安全和信息事件管理(SIEM)系统,结合自动丰富来自数据源的观察结果,例如DomainTools应用程序编程接口(API)或DomainTools PhishEye可以快速处理可疑物品,如欺诈电子邮件。
例子从相对简单的到复杂的都有。在简单的一端,防御者可以在他们的环境中实现检测逻辑,以识别像“双顶级域”这样的模式,这种模式经常出现在本博客研究的数据集中。例如,域名以“edu”或“gov”结尾,但后面跟着另一个顶级域名,如“org”或“us”。类似恶意软件使用“双扩展”等形式伪装在美国,这种模式试图欺骗人类的解读,使其模仿一个合法的或其他良性的物品。标记此类情况(或完全阻止它们,如果风险被认为足够大)可以减少此类活动的威胁。
在更复杂的层面上,自动充实和评估可以支持强大的机制来检测恶意行为的模式。例如,该报告中确定的大多数项目(以及大量类似的恶意域)都使用相同的权威名称服务器、托管提供者和MX记录模式。当一个组织可以通过自动富集在接收时识别新的发件人邮件域的这些特征时,防御者可以快速处理这些项目,标记它们以便进一步审查或完全阻止它们。考虑到大量潜在的角色组合受害的领域在构建一个健壮和可持续的防御态势时,能够根据给定发送方域的特征(而不仅仅是域本身)发出警报或采取行动是至关重要的。
结论
BEC对许多组织来说仍然是一个重大的风险,由于该活动的成功迭代可能导致严重的财务损失。然而,尽管根据许多信息安全从业者的评估,这些活动据称是“不成熟的”(考虑到它依赖于社会工程和关系欺骗,而不是纯粹的技术灵敏度),但实际上检测和挫败此类活动仍然相当困难。
在这篇文章中,DomainTools的研究人员不仅确定了一种方法来发现可能的活动或至少一致的参与者参与此类操作,而且还为如何应对BEC的挑战提供了防御性建议。通过理解和分析在创建旨在模仿合法组织的基础设施时对手的倾向,防御者可以将重点放在此类活动背后的基本行为上,以构建针对此类模式未来实例化的防御。
通过采用这种前瞻性的方法(它要求能够近实时地分析新观察到的网络基础设施),防御者可以超越针对欺诈(和其他威胁)的持续“向后看”防御。通过这样做,防御者可以实现可持续的、有效的防御,同时保持基本的组织价值。无论是BEC还是国家支持的间谍活动,了解对手如何操作,丰富数据以获得技术观察的基本方面,并围绕这样丰富的视角创建安全警报或屏蔽,代表了现代、可持续的网络防御的需求。
附录A -初始域
下载完整的.csv文件在这里.