Slapdash Safeguards

にわか仕込みのセキュリティ

本物のメールを使用してDMARCによる検証を回避することでフィッシングを行う「DKIMリプレイ攻撃」

by skybreaker 脅威情報

PayPalApple IDの請求メールを送り、そのメールを見た被害者が攻撃者に連絡を取ってしまうことで、正規のサポートに連絡を取ったかのように騙される。

DMARC検証があれば、攻撃者が所有していないドメインからメールを送った場合に弾かれる。

しかしながら、今回の件では正規のサービスから送信されたメールをSMTPクライアントなので直接再送信しているため、内容の改ざんがないことを保証するDKIMに関する検証はパスしてしまう。

つまり、攻撃者は正規のサービスから送られたメールをそのまま再送信することでフィッシングメールとして再利用している。こうなると、DMARC検証を回避できる場合がある。

www.kaseya.com

DMARC回避?そんなことになる?

そんなことができるんなら、DMARC意味なくねとか思ってしまう。

上で示したkaseyaの記事によると、

DKIM attaches a cryptographic signature to an email’s headers and body. The receiving mail server uses the sending domain’s public key to confirm that the signed content has not been altered in transit. DKIM verifies message integrity, but it does not confirm who actually delivered the email.
・DMARC builds on DKIM or Sender Policy Framework (SPF) by checking alignment between the authenticated domain and the visible From: address. If DKIM passes and aligns with the From: domain, DMARC passes as well.
日本語訳:
DKIMは、メールのヘッダーと本文に暗号署名を付加します。受信メールサーバーは、送信元ドメインの公開鍵を使用して、署名されたコンテンツが送信中に改ざんされていないことを確認します。DKIMはメッセージの整合性を検証しますが、実際にメールを配信した人物を確認するものではありません。
DMARCは、DKIMまたはSPF(Sender Policy Framework)を基盤として、認証済みドメインと表示されるFrom:アドレスの整合性をチェックします。DKIMが合格し、From:ドメインと整合している場合、DMARCも合格となります。

DKIMって本文とかメールが改ざんされていないか確認する。DMARCはSPFDKIMが必要なんじゃないのか?

送信者のドメインはDMARCポリシにより、送信者の電子メールがSPFまたはDKIM、あるいはその両方によって保護されていることを示し、それらの認証方法を通過せず拒否または隔離するときに受信者がどうすべきかを指示することができる。
https://ja.wikipedia.org/wiki/DMARC

おーーー???DMARC検証、もしくはそれっぽいものは何か実装によって挙動違うってこと!?

だから、メールの内容が改ざんされていなければそのままDMARCの検証、正確にはDKIM関連しかチェックしていないような弱々ポリシーを回避できるってことか。

DKIMなら本文変えられないよね?どうやって悪用する?

いやでも、DKIMってことは正規サービスから送信されたメールを弄れない。じゃあ、どうやって悪用しているのか。

そりゃ、そもそも悪意あるメッセージを入れたメールを正規のサービスに送ってもらうってことになる。

例えばkaseyaの記事にある実際の事例を見ると、

kaseyaの関連記事より(https://www.kaseya.com/blog/dkim-replay-attacks-apple-paypal-invoice-abuse/)

何か変なところが無いだろうか?

「Dear ,」の箇所に注目してみよう。「Dear」のあとに「キャンセルするなら~という電話番号に電話して」となっている。何か変じゃね?

本来ここには、アカウント名が入るハズ。だが、アカウント名ではなく「キャンセルするなら~という電話番号に電話して」になっている。

つまり、攻撃者は「アカウント名」や「連絡先」、「メモ」的な要素にフィッシング用の要素を入力する。そうして、正規の何らかの処理の際にメールに悪意のある誘導文字列が埋め込まれる。こうすることで、正規のサービスが生成するメールにフィッシングのための文字列が含まれる状態でメールが送信される。あとは、再送信することでDKIMには支障が無い。

DKIMリプレイ攻撃とはこういうこと。

FromとToってそのままだけど、Toをちゃんと確認してからメール開く人ってどれだけ居る?

ただし、DKIMリプレイ攻撃によって再送信されたメールヘッダは少し奇妙になる。

Fromは正規サービスのメールアドレス、Toは攻撃者のメールアドレス、被害者のメールアドレスはメールクライアントに通常は表示されない場所(Envelope Toとか?)

つまり、メールクライアントで開いた時にはToに記載されているのは知らんメールアドレスになっている。

もうこの時点であからさまに怪しい訳だが、ところでToが不審なメールアドレスであるかってどれだけの人が確認してるんでしょうね。

Fromは変なドメインとかメールアドレスじゃないか皆さんちゃんと確認してるでしょうが、Toって見てますか?

正規のサービスやドメインから送信されるメールをどうやって悪用するかが流行っているようなイメージ

別に新しいことではないんだろうが、改めて「google.com」とか「teams.mail.microsoft.com」とか正規のドメインをどうにか悪用するのが増えているイメージがある。
www.sdsg.moe

www.sdsg.moe

フィッシングってペネトレーションテストで馴染みが無いからよく分からんが、何かこういうのがまとめられているとこでもあるんだろうか。

Evilginxやれば全て解決みたいな簡単な世界ではないんだよね。