新しいホモグリフ攻撃技術は、テキストの微小な視覚的差異を、信頼できるドメインを偽造し、認証情報を盗み、セキュリティスタック内の弱いUnicode処理をバイパスするための信頼性の高い方法に変えています。
国際化ドメイン名(IDN)、ピュニコード、およびUnicode「デコイ文字」を悪用することで、攻撃者はブラウザアドレスバーでは正当に見えながら、攻撃者が管理するインフラストラクチャに解決するドメインを登録できます。
典型的な例は、ラテン文字の「a」(U+0061)対キリル文字の「а」(U+0430)、またはラテン文字の「o」(U+006F)対ギリシャ文字のオミクロン「ο」(U+03BF)です。ほとんどのフォントでは、ユーザーはそれらを一目で区別することができません。
これらの文字がドメイン、ファイル名、または表示名に置き換えられると、Unicodeを正規化しないヒューマンおよび一部のフィルターはそれらを元のブランドとして解釈します。
DNS世界では、これらの文字列はピュニコードを使用してエンコードされるため、キリル文字「а」を含む欺瞞的なUnicodeドメインはASCIIのxn--ラベルとして保存されますが、通常はブラウザによってUnicodeに戻されます。
レポートによると、ホモグリフ攻撃は、ほぼ同じに見えるが異なるUnicodeコードポイントを持つ文字に依存しており、しばしばラテン文字、キリル文字、ギリシャ文字、またはアルメニア文字などの異なるスクリプトに由来します。
モダンブラウザはUnicodeとピュニコードを表示するかどうかを決定するためにヒューリスティック(たとえば、スクリプトチェックとTLDポリシー)を適用しますが、ホモグラフ攻撃は多くのロケールとエッジケースで依然として実行可能です。
新しいホモグリフの仕掛け
攻撃者は現在、高価値ブランドの混乱しやすいバリアントの生成を自動化してから、レジストラチェックに合格し、Let’s Encryptなどのサービスから自動的に無料TLS証明書を取得するIDNを一括登録します。
これらのそっくりドメインは槍型フィッシング キャンペーン、フェイクログインポータル、マルウェアダウンロードサイト、および広告やチャットメッセージに埋め込まれたブランド偽装リンクで使用されます。
ドメイン以外にも、ホモグリフはパッケージ名、リポジトリ、およびユーザー名に表示され、開発者とユーザーを混乱させて悪意あるコードまたは偽の企業アカウントを信頼させます。
技術的な側面では、攻撃者はUnicode正規化の癖(NFC/NFKC)、Unicode Consortiumからの混乱しやすい文字マッピング、さらには双方向オーバーライド制御を利用して、テキストがどのようにレンダリングされるか対して格納される方法を操作します。
つまり、素朴な文字列比較、表示ラベルに基づくホワイトリスト、または入力を正規化しないログパイプラインはすべて、「信頼できる」名前が実際には外字を含んでいることを見落とす可能性があります。
ホモグリフドメインは認証情報収集と金融詐欺で大きく現れており、フィッシングメールまたはメッセージが実際の銀行またはSaaSポータルと見分けがつかないログインページにリンクしています。
ビジネスメール侵害では、攻撃者は欺瞞的な表示名を微妙に変更されたドメインと組み合わせるため、忙しい従業員はヘッダーを検査せずに支払いを承認したり、機密データを共有したりします。
ホモグリフドメイン上の偽のダウンロードポータルと更新サイトは、ドメインが新しく登録されているだけで、評判ベースのブロッキングから逃れるマルウェアをプッシュします。
これらの手法は複数のMITRE ATT&CK手法にきれいにマッピングされます:初期アクセスのためのスピアフィッシングリンク(T1566.002)、ブランドとインフラストラクチャに関するオープンソース偵察(T1593)、悪意あるインフラストラクチャの取得(T1583.001)、および防御回避のための詐欺と欺瞞的な命名(T1036)。
認証情報が盗まれると、攻撃者は認証情報アクセス手法に移動し、その後詐欺またはデータ暗号化影響に進み、ホモグリフインフラストラクチャを最初のホップとして使用します。
防御がまだ失敗する理由
多くの組織はUnicodeを例外ケースとしてまだ扱っているため、メールゲートウェイとWebプロキシは混合スクリプトドメインを正規化またはフラグ付けしないため、ホモグラフURLが通過します。
証明書ベースのチェックは誤解を招く可能性があります。なぜなら、モダンPKIは正当なドメインと欺瞞的なドメインを区別しないため、ドメイン制御が証明される限り、パドロックが発行されるためです。
ブラウザが疑わしいIDNのピュニコードを表示する場合でも、ユーザーは視覚的な手がかりを信頼することに慣れており、xn--ラベルまたは微妙なスクリプト違いを理解することはめったにありません。
セキュリティパイプラインはしばしば正規化された「ホモグリフなし化」形式ではなく、生の文字列に基づいてログおよび相関させるため、わずかな混乱しやすいバリアションを使用した関連キャンペーンの検出が破損します。
混合スクリプト検出および混乱しやすい文字チェックはライブラリとツールとして存在しますが、デフォルトではSIEMルール、URLの書き換えレイヤー、またはSSO セキュリティコントロールに統合されることはめったにありません。
堅牢なホモグリフ防御はポリシーで始まります。公式な混合スクリプトIDNの使用を禁止し、重要なブランドの主要そっくりドメインを積極的に登録して、利用可能な攻撃面を削減します。
技術レイヤーでは、メールとWebセキュリティはUnicodeを正規化し、疑わしいIDNを強調またはピュニコード形式に書き換え、xn--ドメインまたは混合スクリプトラベルをレビューされるまで高リスクとして扱う必要があります。
DNSセキュリティは新しく登録されたそっくりドメインを追跡する必要があり、証明書の透明性監視は疑わしい企業ブランドのバリアントに対してTLS証明書が発行されたときにアラートを出すことができます。
Quick Heal/Seqriteなどのベンダーからの最新エンドポイントおよびゲートウェイ製品を含む特殊なセキュリティソリューションは、ますますURL評判、IDN認識、および単純な文字列マッチング以上の欺瞞的なドメインをクリック時にキャッチするフィッシング検出を組み込んでいます。
組織はまた、ホモグリフ認識フィッシングシミュレーション、明確なユーザートレーニング、および強力な多要素認証を追加する必要があります。これにより、単一の誤ったクリックがアカウント乗っ取りに直接変換されません。
ログ内での混乱しやすい文字の狩り、および財務アクションの厳格な検証と組み合わせて、これらの階層化されたコントロールは、ホモグリフベースのスプーフィングの運用コストを大幅に増加させます。
翻訳元: https://gbhackers.com/new-homoglyph-tricks/
