Microsoft Phishing観察記録_202104

観察するにあたっての問題点

昨年11月ごろから始めてみて少し期間も空いてしまいましたが、
件数が少ないうえにすぐにテイクダウンされるPhishTankではいまの月一調査では追いつかない（なんだったら日次の調査でも追いつかない）ので、
この2か月はPhishTankの調査をどうやって効率よく行うかを考えていました。
詳細は以下を参照。

PhishTank調査を自動化したい - part1

PhishTank調査を自動化したい - part2

自動化の結果

結論からいうと現時点で調査するまでの自動化が行えていないので、
いかに早くPhishTankへのMicrosoftブランドフィッシングサイトアップロードを検出するか、を目的として以下の構成を組んでいます。

①Logic Appsで1時間ごとにPhishTankのcsvファイルを取得
②取得したcsvファイルはBlobストレージへアップロード
③part1の記事で紹介していたようにexternaldata句を使ってLog Analytics(=Sentinel)へデータ取り込み
④KQLでBrand=Microsoftを抽出して発報
⑤発報をトリガーとしてLogic Appsを動かし、Twitterに投稿
⑥特定アカウントからのツイートを本垢で常時通知させるようにしておく

前回までの構成では直接PhishTankのデータをexternaldataで取得しに行っていたのですが、
PhishTank側の制限に引っかかったようで繰り返すうちにexternaldataがコケてしまうようで、
定期的にcsvをダウンロードさせる方向に転換しました。
いまいまは発報されたものをurlscan.ioにかけて生存確認をし、生きていたらWindows Sandboxでアクセスしたり認証情報入力したりしています。
Twitterを使うのはExchangeのライセンスを買ってまでメール通知する必要がないから、です。（欲しいところですが）

ということで4月分はある程度キャプチャを取りました。
が、ダミーの認証情報に対するアクセスがまったく取れないので、
5月以降はonmicrosoft.comドメインではなく企業で使われそうな何かしらのドメインを使おうと思います。

今月の画面キャプチャ

以下はOWAタイプ。
この手のフィッシングサイトツールキットの調査もそのうち進めたいです。
何気に2021年になっています。

いつも通り認証失敗後からの入力アドレスのドメインへのリダイレクト。

続いてあまり見かけないタイプ。
入力失敗直後に白い画面に遷移したのでフロントページ以外はダウンしていたように見えました。

続いてもよく見かけるタイプ。

UPN入力後の戻るボタンが利きません。正規サイトだとどうなっているのかを調べるとヒントがあるかも。

いつも通りのMicrosoftホームページへのリダイレクト、と思いきやlogin.microsoft.comへの遷移でした。

この場合、正規セッションが残っていると自動的に正規のサインイン後の画面に遷移される（以下はセッションが残っていた場合のリダイレクト表示で正規サイト）ので、よりフィッシングサイトへのアクセスを正規サイトであると誤認させることができてしまいます。（気を付けよう）

続いて若干ニュアンスが異なるもの。
PDFをダウンロードさせてマルウェア感染を狙うのか、そのPDFからさらに別のフィッシングにつなげるかは不明。私レベルでは危なそうなのでこの橋は渡らない。

続いても似たようなもの。
こちらもドキュメント表示やダウンロードさせることが目的の模様ですが、
ドメインを見る限りOffice 365の模倣サイトのようなので認証情報を入力。

Googleニュースへリダイレクトさせられる。（何故）

最後はOWAタイプ。年号が書いていなかったりするところを見ると少し古め（？）のようにも見えますが、挙動は変わりませんでした。

着手が遅かったこともあるので5月の投稿までにダミーユーザー宛のサインイン試行があれば本稿に追記します。
具体的なIOCが得られなかったので残念なところですが継続して、かつ頻度を多くして引き続き観察しようと思います。