Обычно мошенники используют облачные сервисы для создания вредоносного приложения, которому назначается поддомен. Затем они размещают там фишинговые страницы или могут использовать приложение в качестве C&C-сервера для доставки вредоносного ПО.
Но структуры URL-адресов обычно создаются таким образом, чтобы их можно было легко отслеживать и блокировать с помощью продуктов корпоративной безопасности. Таким образом, ИБ-специалист может блокировать трафик к конкретному приложению, просто блокируя запросы к определенному поддомену и от него.
Однако в случае с Google App Engine ситуация немного другая. Домен Google appspot.com, на котором размещены приложения, имеет следующую структуру URL — «VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com». В этом случае поддомен представляет собой не только приложение, но и поля версии приложения, имени службы, идентификатора проекта и идентификатора региона.
Если какое-либо из данных полей является неверным, Google App Engine не будет отображать страницу «404 Not Found», а вместо этого покажет страницу приложения по умолчанию.
Существует множество настроек поддоменов, позволяющих получить доступ к вредоносному приложению злоумышленника. Пока у каждого поддомена есть действительное поле «project_ID», недействительные варианты других полей могут использоваться по усмотрению злоумышленника для создания длинного списка поддоменов, которые все ведут к одному и тому же приложению.
Например, как продемонстрировал Афрахим, оба приведенных ниже URL-адреса, которые выглядят совершенно по-разному, представляют одно и то же приложение, размещенное на Google App Engine.
Кроме того, большое количество вариантов поддоменов делает бесполезным подход к блокировке, основанный на индикаторах взлома.