首頁 > 安全研究 > 研究報告 > 攻擊與威脅分析

警惕偽裝成“企業網絡安全部門”的網絡攻擊活動

發布時間 2022-06-17

一、背 景


從2022年4月開始,啟明星辰ADLab追蹤到多起偽裝為我國企業網絡安全部門的網絡攻擊,這些攻擊大部分被冠以“緊急”之名,通過偽造各類政企內部需快速處理的重要事務如:“【緊急】Windows-MS驅動漏洞補丁措施”、“【緊急】辦公網絡聯通性測試”、“關于開展終端加固的通知”、“漏洞自查及安全補丁更新”、“關于開展WPS Office個人辦公軟件代碼執行漏洞排查的通知”等主題的釣魚攻擊,攻擊目標涉及到我國金融機構、交通部門、通信公司、手機廠商等企業。這一系列的攻擊中,一些攻擊看起來與某些紅隊的先期偵察和踩點攻擊行動有關,并非真實的在野攻擊,但依然值得相關企業提高警惕度。


在此類攻擊活動中,攻擊者的攻擊手法基本一致地采用了加密壓縮文件包作為攻擊載荷,這種帶有密碼的壓縮附件能夠很好對抗郵件安全網關、入侵檢測系統、文件沙箱等安全系統的檢測。攻擊者將帶有木馬的附件加密壓縮,并在郵件內容中提供解壓密碼,用戶需要手動輸入密碼解壓才能得到需執行的文件,因此這類郵件的檢測報毒率極低。同時,相較于廣撒網式的普通釣魚攻擊,該系列攻擊精準攻擊特定人員,主題內容高度仿真且迷惑性極強(政企內部需處理的熱點漏洞事件或敏感話題)。又充分利用人性的弱點,以“緊急”之名給用戶制造緊迫感,從而增加攻擊的成功率。一旦用戶“急中生錯”不慎中招,就會成為攻擊者入侵內部系統的一個突破口。這批攻擊中主要以植入CobaltStrike木馬為主,并通過云函數的方式回連C&C實現隱匿通信以對抗流量分析和溯源,這也是近期這批釣魚攻擊活動中一個顯著的共性特點。我們知道,CobaltStrike木馬具備強大的遠控竊密、內網滲透、橫向移動等能力。企業網絡一旦被黑客成功攻擊,其內部涉及到的關鍵信息系統可能面臨極大的安全風險。此外,由于臨近“護網行動”,還存在一些黑客組織利用這段時間混入其中對一些重要的企業和部門進行攻擊,試圖混淆視聽。

本文將對近期針對我國政企行業的部分網絡釣魚攻擊活動進行追蹤和分析,包括攻擊手法、隱藏手段、對抗方式等技術特點和共性特征,并以其中一個典型攻擊案例進行具體分析。此外,本文不再對此次攻擊木馬做詳細的技術分析,詳細技術分析見我們此前的專題分析文章《滲透利器Cobalt Strike在野利用情況專題分析》,該文中針對CobaltStrike木馬做了深入全面的分析和研究。


二、攻擊活動分析


2.1 釣魚郵件


本次發現的攻擊基本都以精心構造的郵件釣魚攻擊為主,攻擊形式多樣,例如偽裝成企業網絡安全部門或信息管理中心向員工發送漏洞排查通知、終端加固通知、漏洞補丁措施、辦公網絡聯通測試等緊急工作事項。相關釣魚郵件示例如下所示:


釣魚郵件一:偽裝成某金融機構信息安全與風險管理處向員工發送漏洞排查通知


圖1.png

圖1 漏洞排查通知郵件


圖2.png

圖2 附件內容


釣魚郵件二:偽裝成某通信公司安全部向員工發送終端加固通知


圖3.png

圖3 終端加固通知郵件


圖4.png

圖4 附件內容


釣魚郵件三:偽裝成某交通部門的安全技術部給員工發送漏洞補丁通知


圖5.png

圖5 漏洞補丁措施郵件


圖6.png

圖6 附件內容


釣魚郵件四:偽裝成某金融機構安全技術部給員工發送安全補丁更新


圖7.png

圖7 安全補丁更新郵件


釣魚郵件五:偽裝成某企業信息中心向員工發送辦公網絡聯通性測試


圖8.png


圖8 辦公網絡聯通性測試郵件



從這批郵件的攻擊手法來看,主要有以下特點:一是針對性強,目標均為政企行業內部人員;二是仿真度高,通常偽裝成政企的網絡安全部門、信息中心等IT核心部門,利用政企內部需處理的熱點漏洞事件或敏感話題實施釣魚;三是隱匿性好,通常采用加密壓縮文件包的形式對抗郵件安全網關、入侵檢測系統、文件沙箱等防護系統,繞過其針對郵件附件的檢測,相關郵件在安全沙箱的檢測報毒率極低,可以達到很好的免殺效果。部分郵件報毒情況如下圖所示:

圖9.png


圖9 郵件報毒情況



郵件附件解壓后的文件主要以可執行文件exe為主,不過由于偽裝的文件本身屬于安全補丁、漏洞檢測等可執行程序,加之攻擊者通常會偽裝程序的圖標,因此用戶往往難以辨別真偽。我們也對近期使用類似手法進行釣魚的exe文件進行了監測,部分釣魚類exe文件如下所示:



表1 釣魚類exe文件


表1.png


以上所列只是黑客攻擊的“冰山一角”,這一系列的釣魚攻擊還有很多,涉及的攻擊誘餌除安全補丁類之外,還包括舉報材料、求職簡歷、問題咨詢、紅藍對抗情報、疫情疏散演練計劃等等多種形式,其中部分攻擊載荷應該屬于護網行動的攻擊測試。這些惡意程序可能通過郵件、下載站、USB設備、社交軟件等多種方式投遞給目標用戶以實施釣魚活動,需要引起相關政企人員的高度警惕。



2.2 攻擊案例分析


在本次工作中,啟明星辰ADLab捕獲到數封以“補丁”,“更新”等為誘餌內容攻擊我國企業的郵件。經過對捕獲到的郵件進行深入的分析和關聯,我們發現這些活動的攻擊手法大致相似,使用加載器加載CS木馬的shellcode,從而執行后續的黑客攻擊。下面將以其中一封攻擊我國公共設施的郵件展開分析。


圖10.png

圖10 本次攻擊流程圖


在此次攻擊中,攻擊者偽裝為某交通部門的安全技術部工作人員,向集團公司內部員工發送以《【緊急】Windows-MS驅動漏洞補丁措施》為主題帶有惡意攻擊載荷的釣魚郵件。


圖11.png

圖11 釣魚郵件詳情


釣魚郵件附件為被加密的“IE11-Mfc補丁壓縮包.zip”壓縮包,受害者通過郵件內容中提供的密碼進行解壓,能夠得到兩個文件。其中一個是名為“IE11-Mfc.exe”的惡意文件,另一個是使用說明。使用說明的內容將誘導受害者使用管理員權限運行惡意文件,使惡意木馬即使不通過提權操作,也能輕易在管理員權限中運行。并且攻擊者使用加密附件的方式,將解密密碼留在郵件內容中,能夠有效地規避殺軟的檢測,這將大大提高攻擊者攻擊成功的可能性。


圖12.png


圖12 壓縮包內容


圖13.png

圖13 郵件報毒情況


當惡意文件“IE11-Mfc.exe”在管理員權限中運行,首先會解密函數名稱字符串并通過動態獲取函數的方式來獲取關鍵函數的地址。攻擊者使用這種方式獲取關鍵函數,更能有效規避殺軟對敏感函數的檢查,以便提高攻擊的成功概率。


圖14.png

圖14 動態獲取函數


成功獲取到關鍵函數后,惡意木馬會將數據段中硬編碼的數據使用BASE64算法解碼。攻擊者在惡意木馬中大量使用了代碼膨脹技術,從而將程序的控制流復雜化,以加大分析人員分析的難度。例如,在BASE64算法中加入了許多條件判斷來改變程序控制流。


圖15.png

圖15 BASE64 算法


隨后,惡意木馬使用變形的TEA算法對BASE64解碼后的數據進行解密從而得到后續攻擊的shellcode并執行,其中解碼后的數據前16個字節為變形TEA算法的密鑰,剩余字節為shellcode的密文。


圖16.png

圖16 硬編碼數據


值得一提的是,為了避免分析人員在分析的過程中識別出TEA算法中常用的Delta值: 0×9E3779B9,攻擊者還將該值取反為0x61C88647。


圖17.png

圖17 變形的TEA解密算法


經過分析,發現該惡意shellcode實則為CS的stager shellcode,惡意木馬將使用該shellcode從黑客服務器中下載運行CS木馬,展開后續的黑客攻擊。一旦受害者按照使用說明運行惡意文件,受害者的電腦將被攻擊者使用CS木馬輕易掌控,實施橫向移動,機密文件竊取等惡意行為。


圖18.png

圖18 解密后的CS stager shellcode


關于CS木馬,我們曾在《滲透利器Cobalt Strike在野利用情況專題分析》一文中進行過詳細的分析。CS全稱Cobalt Strike,是一款基于Java編寫的全平臺多方協同后滲透攻擊框架,其支持多種通信協議,包括http、https、dns、smb等,同時集成了提權、憑據導出、端口轉發、端口掃描、橫向移動、Socks代理、釣魚攻擊等功能,且支持豐富的擴展插件,幾乎可以覆蓋APT攻擊鏈所需的各個技術環節。木馬生成方面也涵蓋了大多數的平臺和攻擊場景,包括PE木馬、ELF木馬、網頁木馬、Office宏病毒木馬等,木馬功能及指令詳見附錄所示。在該文中,我們曾提到多種CS隱匿流量的方式,包括域名仿造、CDN,流量偽裝等。而在本次攻擊中,攻擊者則是利用云函數來隱匿流量。云函數,顧名思義就是云服務器上的函數,是將代碼運行在云服務器上的一種方法。通常,攻擊者會在云服務器上添加CS流量轉發的函數,包括處理http-get請求、http-post請求以及用于下載后續CS木馬的http-stager請求,即可有效隱匿CS流量。在本次攻擊的樣本中,則是向service-gk8t2t63-1308736846[.]bj[.]apigw[.]****[.]com/bootstrap-2.min.js請求下載下一階段的CS木馬,從而執行后續的惡意行動。


圖19.png

圖19 從云服務器上下載后續的shellcode


圖20.png

圖20 云函數流程


啟明星辰ADLab安全研究人員通過長期追蹤,采集和分析了大量的關聯CS木馬樣本,發現在CS中使用云函數隱匿流量是近年來較為常見的一種方法。這是由于相較于其他隱匿流量方法的不足,如:域前置需要廠商CDN功能驗證缺陷、CDN技術需要創建域名從而增加暴露的風險,使用免費的云函數隱匿流量更具便利性。攻擊者僅需購買云服務器并在云廠商提供的功能面板中配置用于轉發CS流量的云函數,即可實現CS流量的隱匿。而分析人員在分析后門的過程中,只能追溯出攻擊者使用的云函數服務器域名和ip。并且由于云函數服務器通常是自帶CDN服務,使得分析人員將更難找出攻擊者真實的C2服務器。由此可見,使用云函數隱匿CS流量無疑大大提高攻擊者在攻擊過程中的便利性。在本次發現的數封郵件中,大部分CS樣本也同樣使用云函數隱匿流量,部分樣本如下表:


表2 樣本詳情

表2.png


三、總 結


本文披露了近期針對我國企業的多起網絡攻擊活動,涉及到我國金融機構、交通部門、通信公司、手機廠商等企業。政企行業中,尤其是涉及到關鍵信息基礎設施的部門,對國家安全、經濟安全、社會穩定、公眾健康和安全至關重要,一旦遭到網絡攻擊可能給社會帶來巨大的危害。從攻擊手法來看,這批攻擊大多是以常見的釣魚郵件為攻擊入口,輔以高度仿真且迷惑性極強的誘餌內容進行釣魚,并通過加密壓縮附件的形式來對抗郵件安全檢測。投遞木馬主要為CobaltStrike,且大量樣本是通過云函數來隱匿通信流量,以對抗溯源追蹤和安全分析。類似的云服務應用可能是把利弊兼具的雙刃劍,如何更好地服務公眾,又能避免合法應用被惡意活動濫用,還需要相關企業引起更多的關注。


魚叉式釣魚具有定制化、精準化的特性,且具有很強的迷惑性,一旦企業內部存在安全意識薄弱的員工不慎點擊了釣魚郵件,就可能會對企業帶來嚴重的后果。黑客可以將竊取到的敏感信息和重要文件轉售謀利,或者利用這些信息做更進一步的攻擊。除此之外,攻擊者還可以使用魚叉式釣魚攻擊部署惡意軟件來劫持計算機,將目標計算機所在的網絡變成可用于DoS攻擊的龐大僵尸網絡或者投擲勒索病毒實施經濟勒索,給企業造成不可估量的損失。建議企事業單位不定期為員工舉辦安全教育培訓,提升員工的安全防范意識。務必注意不要隨意打開未知來源的電子郵件,特別是帶有附件的電子郵件。如有需要,可通過打開office文檔中的:文件-選項-信任中心-信任中心設置-宏設置,來禁用一切宏代碼執行。并做好郵件系統的防護工作,督促員工及時更新系統和office應用補丁。如果發現系統或服務器出現異常,應當及時報告并請專業人員進行排查,以消除安全隱患。


附錄:

CS beacon命令列表

附錄

上一篇 下一篇