- 安全教育非常重要。完整的安全教育更加重要
这个附件里有病毒吗?这个链接安全吗?会不会是恶意的?……并不是所有人都擅长安装和使用虚拟机以避免恶意文档/链接的侵害,于是在线沙盒服务如今已经成为了很多人的依赖。
⚠️但是,这件事有可能很危险。
在三天(2019年8月12日至15日)期间,cylab 监测了三个流行的在线沙盒服务的公开提交。
这些服务允许任何人上传文件,然后生成关于文件打开时会发生什么的报告;然后,他们会指出该文件是恶意的还是良性的。而且都有公共 feeds,不需要付款即可下载或查看公开提交的内容。
由于提交的文件量很大,这里将重点仅仅放在被标记为可疑或安全的 .pdf 和 .msg / .eml 文件上,忽略任何被标记为恶意的文件。
发现了什么?
到目前为止,最多的良性文件是发票和采购订单。cylab 在三天内收集到200多个这样的文件;这是预期内的,因为这些东西是在企业之间通过电子邮件发送的一些最流行的文档类型。
在一个例子中发现,一家公司似乎将所有收到的采购订单都提交到沙箱了,使所有订单都公开了。该公司为 Microsoft Windows 管理员提供了一种流行的部署工具,并且拥有许多知名客户,包括学校和法院。
通过检查发票能够确定谁在使用该软件,以及每个组织中负责采购的人员的联系方式:⚠️对于进行鱼叉式网络钓鱼攻击或 BEC 欺诈活动的攻击者而言,这是非常有用的信息。
专业证书和简历也很普遍:三天内就收集到了30份。
⚠️其中许多包含身份证照片和地址,其中两个甚至附有护照复印件:这些信息可用于冒充受害者或各种身份盗用攻击。
最后,还发现了大量来自未知来源的保险凭证。⚠️可以看出,这些文档暴露了各种个人身份信息(PII),包括姓名、电话号码、邮政信息和电子邮件地址。
不那么常见的发现
此外还发现了各种不符合任何特定类别的文件,但属于高度敏感的机密。
例如,发现了美国中央司令部使用军用飞机的申请表。⚠️其中包含旅行者的姓名和联系方式,以及旅行详情(日期)和旅行原因。
还发现了一些包括医疗和法律文件的文档,如下所示:
URL沙箱
cylab 在这三天内还监控了URL扫描服务。虽然用户可以免费创建私密提交,但默认设置是公开的。
该服务打开提供的 URL,生成一个报告,显示发出了哪些 http 请求,并显示目标页面的屏幕截图;还指出了它是否是网络钓鱼链接。
调查结果表明,⚠️经常有个人将带有敏感数据文件的 Google 云端硬盘链接扔进来,任何知道该链接的人都可以访问该文件。
WeTransfer 链接也发现了类似的问题 —— 这是一种常用于共享大文件的服务。
发送给预期收件人的链接故意很长,几乎不可能被猜到。但是,通过将它们提交给URL扫描服务,就意味着它们被发布了以供任何人查看和访问。
三天的调查期间发现了一个属于美国高中的 Google 云盘文档,⚠️其中包含200多名学生的姓名和地址,以及各种简历和身份证扫描的其他链接。
结论
仅在三天内收集到的敏感文件数量就是惊人的。如果是一个月内,恶意攻击者将拥有足够多的数据来瞄准多个行业、并窃取很多受害者的身份。
虽然在线沙箱服务的采用是一个积极的发展,意味着安全意识的增长,但是,个人和公司需要更好地了解他们共享的文件是如何被处理的。
许多提供商要求付款以私密形式提交文件,这意味着使用免费服务的每个人都默认了共享其文件。
预计随着越来越多的公司在安全领域添加沙盒的使用,这个问题可能会变得更糟,这凸显了安全教育的重要性。⚪️
Confidential company documents exposed in public sandboxes