微软警告OAuth重定向钓鱼攻击利用邮件传播恶意软件

微软安全研究人员发出警告，正在进行的OAuth滥用诈骗活动正通过钓鱼邮件和URL重定向来感染受害者设备并植入恶意软件。

攻击目标和规模

根据微软周一发布的报告，这些钓鱼攻击主要针对政府和公共部门组织。尽管微软Entra已禁用了恶意的OAuth应用程序，但微软信息安全团队警告称"相关的OAuth活动仍在持续，需要持续监控"。

OAuth重定向功能被滥用

OAuth是一种常用的在线授权标准，允许使用第三方凭据进行身份验证。当网站提供使用Google、Facebook或Apple账户登录的选项时，通常就是在使用OAuth标准。

OAuth具有一个合法功能，允许身份提供商在某些情况下将用户重定向到登录页面，通常是在触发错误时。微软观察到的攻击活动都利用了这一功能。

犯罪分子通过创建包含微软Entra ID、Google Workspace或其他身份提供商的URL来滥用此功能，将用户重定向到攻击者控制的登录页面，用户在不知情的情况下下载恶意软件。在微软记录的一次攻击活动中，攻击者试图投递包含可执行文件的恶意载荷，使攻击者能够完全访问受害者的端点设备。

攻击手法详解

所有这些攻击活动都始于钓鱼邮件，邮件内容包括电子签名请求、访问Teams会议录音的机会、微软365密码重置说明以及政治主题，旨在诱骗用户点击恶意链接。

微软指出："迹象表明，这些攻击者使用了免费的预构建批量发送工具以及用Python和Node.js开发的定制解决方案。在某些情况下，他们使用云邮件服务和云托管虚拟机来分发消息。"

攻击者通常将恶意URL嵌入发送给潜在受害者的邮件正文中，但在某些情况下，他们会将URL和诱饵放在PDF附件中。

攻击过程将受害者从OAuth身份验证页面重定向到EvilProxy等钓鱼即服务网站，使数字盗贼能够拦截用户的凭据和会话cookie。

技术实现机制

攻击者通过发送包含精心制作参数组合的钓鱼链接来滥用OAuth重定向行为，这些链接会故意触发错误。

微软威胁猎手写道："乍一看，这看起来像是标准的OAuth授权请求，但几个参数被故意误用了。"

需要注意的是，在这些攻击活动中，犯罪分子并没有窃取用户的访问令牌，因为用户没有授予应用程序访问资源的权限。然而，窃取令牌并不是这种诈骗的重点。其目的是在登录过程中强制产生错误代码，然后将受害者重定向到托管恶意载荷的登录页面。

微软写道："通过在他们控制的应用程序重定向URI上托管载荷，当安全过滤器阻止它们时，攻击者可以快速轮换或更改重定向域名。"

恶意载荷投递

在一次此类攻击活动中，重定向将受害者发送到/download/XXXX路径，该路径会自动将ZIP文件下载到他们的设备上。载荷包括含有LNK快捷方式文件和HTML走私加载器的ZIP压缩包。

当受害者打开LNK快捷方式文件时，会导致执行PowerShell命令，该命令首先在机器上运行发现命令进行侦察。然后启动一个合法文件steam_monitor.exe，该文件被滥用来侧加载恶意DLL文件crashhandler.dll。

根据微软的说法："该DLL解密crashlog.dat并在内存中执行最终载荷，最终建立与外部C2端点的出站连接。"

Q&A

Q1：OAuth是什么？为什么会被攻击者滥用？

A：OAuth是一种常用的在线授权标准，允许使用第三方凭据进行身份验证，比如用Google或Facebook账户登录其他网站。OAuth有一个合法的重定向功能，允许在出错时将用户重定向到指定页面，攻击者正是滥用了这个功能来将用户重定向到恶意网站。

Q2：这种OAuth重定向攻击是如何工作的？

A：攻击者首先发送包含恶意URL的钓鱼邮件，这些URL使用精心制作的参数故意触发OAuth认证错误。当用户点击链接时，系统会因为错误而将用户重定向到攻击者控制的恶意网站，用户在不知情的情况下会下载恶意软件到设备上。

Q3：如何防范这类OAuth钓鱼攻击？

A：用户应该仔细检查邮件中的链接，特别是涉及电子签名、会议录音访问或密码重置的邮件。组织应该部署安全过滤器来阻止可疑的重定向域名，同时加强对员工的网络安全培训，提高对钓鱼邮件的识别能力。