《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 社會(huì)工程,、郵件釣魚,、電話詐騙三管齊下--新型網(wǎng)絡(luò)攻擊BazaCall強(qiáng)勢(shì)來襲

社會(huì)工程、郵件釣魚,、電話詐騙三管齊下--新型網(wǎng)絡(luò)攻擊BazaCall強(qiáng)勢(shì)來襲

2021-08-02
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
關(guān)鍵詞: 新型 網(wǎng)絡(luò)攻擊

  微軟研究人員在7月29日發(fā)布的一份博客文章指出,,一種勒索軟件攻擊新方式正在流行,,利用虛假的呼叫中心誘使受害者下載惡意軟件,可能比之前認(rèn)為的更危險(xiǎn),。由于惡意軟件并不存在于郵件本身的鏈接或文檔中,,這種騙局有助于攻擊者繞過一些網(wǎng)絡(luò)釣魚和惡意軟件檢測(cè)服務(wù)。

  今年2月,,帕洛阿爾托網(wǎng)絡(luò)公司(Palo Alto Networks)的研究人員首先注意到了這個(gè)名為“bazcall”(BazarCall)的活動(dòng),。

  今年5月微軟首次發(fā)現(xiàn)并對(duì)其進(jìn)行調(diào)查,攻擊者偽裝成訂閱服務(wù)提供商,,引誘受害者使用手機(jī)取消一項(xiàng)不存在的訂閱,。一旦接通呼叫中心,工作人員就會(huì)指導(dǎo)他們將惡意軟件下載到電腦上,。

  研究人員現(xiàn)在表示,,這種惡意軟件不僅像之前認(rèn)為的那樣,讓黑客可以通過一次性的后門進(jìn)入設(shè)備,,而且還可以遠(yuǎn)程控制受影響的系統(tǒng),。犯罪分子通過電子郵件引誘目標(biāo),暗示某種服務(wù)的訂閱即將到期,,比如健身會(huì)員,。最近的活動(dòng)已經(jīng)變?yōu)檐浖S可的確認(rèn)收據(jù)。傳統(tǒng)的惡意軟件可能會(huì)引導(dǎo)用戶打開郵件中的鏈接或下載附件,。bazcall的不同之處在于,,每封電子郵件都包含一個(gè)唯一的ID號(hào)碼,并指示用戶撥打一個(gè)電話號(hào)碼,,將他們與真人聯(lián)系起來,。呼叫代理指示他們?cè)L問一個(gè)看起來合法的網(wǎng)站,并告訴他們從帳戶頁面下載一個(gè)文件來取消訂閱,。一旦用戶在下載的文檔上啟用宏,,惡意軟件就會(huì)從Cobalt Strike信標(biāo)發(fā)送。該工具是為合法目的而設(shè)計(jì)的,使用它可以幫助掩蓋惡意活動(dòng),。

  微軟的報(bào)告稱,,雖然這樣的行動(dòng)需要黑客掌握更多社會(huì)工程技術(shù),但這種投遞方式使垃圾郵件和釣魚郵件檢測(cè)軟件基本失效,。這可能使該方法成為試圖繞過日益嚴(yán)格審查的勒索軟件行動(dòng)者的強(qiáng)大工具,。

  攻擊流程概述

  微軟在7月29日的博客中表示,對(duì)BazaCall活動(dòng)的持續(xù)調(diào)查,,即那些使用欺詐性呼叫中心誘騙毫無戒心的用戶下載BazaLoader惡意軟件的活動(dòng),,表明這種威脅比其他安全博客中公開討論和媒體報(bào)道的威脅更危險(xiǎn)。除了具有后門功能外,,來自這些活動(dòng)的BazaLoader負(fù)載還為遠(yuǎn)程攻擊者提供了對(duì)受影響用戶設(shè)備的手動(dòng)鍵盤控制,,從而實(shí)現(xiàn)了快速的網(wǎng)絡(luò)攻擊。根據(jù)我們的觀察,,源自 BazaCall 威脅的攻擊可以在網(wǎng)絡(luò)內(nèi)快速移動(dòng),進(jìn)行廣泛的數(shù)據(jù)泄露和憑據(jù)盜竊,,并在初始入侵后的48 小時(shí)內(nèi)分發(fā)勒索軟件,。

  BazaCall活動(dòng)放棄電子郵件中的惡意鏈接或附件,轉(zhuǎn)而使用誘導(dǎo)受害者撥打的電話號(hào)碼,。這是一種讓人聯(lián)想到網(wǎng)絡(luò)釣魚和技術(shù)支持詐騙的技術(shù),,其中潛在的受害者被攻擊者冷呼叫,但在BazaCall的情況下,,目標(biāo)用戶必須撥打該號(hào)碼,。當(dāng)他們這樣做時(shí),用戶會(huì)與線路另一端的實(shí)際人員聯(lián)系起來,,然后他們提供將惡意軟件安裝到他們的設(shè)備中的步驟說明,。因此,BazaCall活動(dòng)需要與人類和社會(huì)工程策略的直接電話溝通才能取得成功,。此外,,投遞方法中沒有明顯的惡意元素可能會(huì)使垃圾郵件和網(wǎng)絡(luò)釣魚電子郵件檢測(cè)的傳統(tǒng)方法無效。

  圖1 典型的 BazaCall 攻擊流程,,從垃圾郵件到社會(huì)工程,,

  再到正在下載的有效負(fù)載和手動(dòng)鍵盤攻擊

  通過上述手動(dòng)鍵盤控制,在BazaCall的攻擊鏈中使用另一種人為因素,,進(jìn)一步使這種威脅比傳統(tǒng)的自動(dòng)化惡意軟件攻擊更危險(xiǎn),、更容易躲避。BazaCall活動(dòng)強(qiáng)調(diào)了跨域可見的重要性以及關(guān)聯(lián)事件在構(gòu)建針對(duì)復(fù)雜威脅的全面防御方面的能力,。

  言精心設(shè)計(jì)的誘騙郵件

  BazaCall的活動(dòng)從一封電子郵件開始,,利用各種社會(huì)工程誘餌誘使目標(biāo)收件人撥打一個(gè)電話號(hào)碼。例如,,電子郵件通知用戶一個(gè)假定的到期的試用訂閱,,他們的信用卡將很快自動(dòng)收取訂閱的高級(jí)版本的費(fèi)用,。該活動(dòng)中的每一波郵件都使用了不同的訂閱“主題”,這些訂閱主題本應(yīng)到期,,比如照片編輯服務(wù)或烹飪和食譜網(wǎng)站會(huì)員資格,。在最近的一次活動(dòng)中,電子郵件取消了訂閱試用的角度,,取而代之的是作為購買軟件許可的確認(rèn)收據(jù),。

  與典型的垃圾郵件和釣魚郵件不同,BazaCall的郵件正文中沒有用戶必須點(diǎn)擊或打開的鏈接或附件,。相反,,如果用戶有問題或擔(dān)憂,它會(huì)指示用戶撥打電話號(hào)碼,。缺乏典型的惡意元素——鏈接或附件——增加了檢測(cè)和搜索這些電子郵件的難度,。此外,如果用戶接受過嚴(yán)格的訓(xùn)練,,避免典型的網(wǎng)絡(luò)釣魚和惡意郵件,,但沒有學(xué)會(huì)警惕社會(huì)工程技術(shù),那么電子郵件內(nèi)容的信息傳遞也可能增加一種合法性的氛圍,。

  圖2 這是一封典型的bazcall電子郵件,,聲稱用戶的照片編輯服務(wù)試用期即將到期,并將自動(dòng)收取費(fèi)用,。提供虛假的客戶服務(wù)號(hào)碼,,幫助取消訂閱

  bazcall的每一封郵件都來自不同的發(fā)件人,通常使用免費(fèi)的電子郵件服務(wù)和可能被泄露的電子郵件地址,。電子郵件中的誘餌使用與真實(shí)企業(yè)名稱相似的假企業(yè)名稱,。然后,收件人在網(wǎng)上搜索該公司名稱,,以檢查電子郵件的合法性,,可能會(huì)被誤導(dǎo),認(rèn)為這樣的公司存在,,他們收到的信息是有價(jià)值的,。

  下面列出了一些示例主題行。它們每個(gè)都有一個(gè)唯一的“賬號(hào)”,,由攻擊者創(chuàng)建,,用來識(shí)別收件人:

  很快你就會(huì)成為高級(jí)會(huì)員,因?yàn)檠菔酒诩磳⒔Y(jié)束,。個(gè)人身份證:KT[唯一身份證號(hào)碼]

  自動(dòng)高級(jí)會(huì)員續(xù)簽通知GW[唯一ID號(hào)]

  你的演示階段差不多結(jié)束了,。您的用戶賬號(hào)VC[唯一ID號(hào)碼]。一切都準(zhǔn)備好了嗎?

  通知一處廢棄的交通事故現(xiàn)場,!一定要找經(jīng)理,![電子郵件正文包含唯一ID號(hào)碼]

  感謝你決定成為BooyaFitness的會(huì)員。健身計(jì)劃從來沒有這么簡單過[電子郵件正文包含唯一的ID號(hào)]

  您的訂閱將更改為黃金會(huì)員,,因?yàn)樵囼?yàn)即將結(jié)束,。訂單:KT[唯一身份證號(hào)]

  你的自由時(shí)間快結(jié)束了。您的會(huì)員賬號(hào)VC[唯一身份證號(hào)],。準(zhǔn)備好繼續(xù)前進(jìn)了嗎,?

  謝謝你得到WinRAR pro計(jì)劃。您的訂單號(hào)是WR[唯一標(biāo)識(shí)號(hào)],。

  非常感謝您選擇WinRAR,。您需要查看您的許可證信息[電子郵件正文包含唯一ID號(hào)]

  雖然觀察到的大多數(shù)活動(dòng)的主題行都包含類似的關(guān)鍵字和偶爾的表情符號(hào),但每一個(gè)都是獨(dú)特的,,因?yàn)樗囟ㄓ谑占说淖帜笖?shù)字序列,。這個(gè)序列總是以用戶ID或交易代碼的形式呈現(xiàn),但它實(shí)際上是攻擊者識(shí)別接收方并跟蹤后者對(duì)活動(dòng)的響應(yīng)的一種方法,。唯一標(biāo)識(shí)號(hào)的模式大致相同,,可以用正則表達(dá)式表示,如L0123456789,、KT01234567891。

  誘導(dǎo)執(zhí)行惡意代碼

  如果目標(biāo)收件人決定撥打電子郵件中顯示的電話號(hào)碼,,他們將與bazcall運(yùn)營商設(shè)立的欺詐性呼叫中心的真人通話,。呼叫中心代理充當(dāng)下一階段攻擊的通道:在他們的對(duì)話期間,代理告訴調(diào)用者,,他們可以幫助取消假定的訂閱或事務(wù),。為此,代理要求來電者訪問一個(gè)網(wǎng)站,。

  這些網(wǎng)站被設(shè)計(jì)得看起來像合法的企業(yè),,其中一些甚至假冒真實(shí)的公司。然而,,我們注意到,,一些域名并不總是與電子郵件中包含的虛擬企業(yè)的名稱相匹配。例如,,一封聲稱用戶“Pre Pear Cooking”的免費(fèi)試用即將到期的電子郵件,,就與域名“topcooks[.]us”配對(duì)。bazcall活動(dòng)中使用的網(wǎng)站截圖,。

  圖3 bazcall活動(dòng)中使用的樣本網(wǎng)站,。它模仿了一個(gè)真正的食譜網(wǎng)站,但受到了攻擊者的控制

  然后呼叫中心代理指示用戶導(dǎo)航到帳戶頁面并下載文件以取消訂閱。該文件是一個(gè)啟用宏的Excel文檔,,其名稱如“cancel_sub_[惟一ID號(hào)].xlsb”,。請(qǐng)注意,在某些情況下,,研究人員觀察到,,即使啟用了Microsoft Defender SmartScreen等安全過濾器,用戶也會(huì)故意繞過它來下載文件,,這表明呼叫中心代理可能會(huì)指示用戶繞過安全協(xié)議,,他們威脅說,如果他們不這樣做,,他們的信用卡就會(huì)被扣款,。這再次證明了BazaCall攻擊中使用的社交工程策略的有效性。

  下載的Excel文件顯示一個(gè)虛假的通知,,說它受到Microsoft Office的保護(hù),。然后,呼叫中心代理指示用戶單擊按鈕,,使編輯和內(nèi)容(宏)能夠查看電子表格的內(nèi)容,。如果用戶啟用宏,則BazaLoader惡意軟件將被發(fā)送到設(shè)備,。從BazaCall活動(dòng)使用的網(wǎng)站下載Excel文件的截圖,。

  圖4 攻擊者使用的Excel文檔,提示用戶啟用惡意代碼

  關(guān)鍵數(shù)據(jù)竊取過程

  在Excel文檔中啟用的宏會(huì)在%programdata%文件夾中創(chuàng)建一個(gè)隨機(jī)字符串命名的新文件夾,。然后,,它從System文件夾中復(fù)制certutil.exe,一個(gè)已知的本地二進(jìn)制文件(LOLBin),,并將certutil.exe的拷貝放到新創(chuàng)建的文件夾中,,作為一種防御規(guī)避的手段。最后,,對(duì)certutil.exe的副本進(jìn)行重命名,,以匹配文件夾名稱中的隨機(jī)字符串。

  然后宏使用新命名的certutil.exe副本連接到攻擊者的基礎(chǔ)設(shè)施并下載BazaLoader,。下載的有效載荷是一個(gè)惡意的動(dòng)態(tài)鏈接庫(,。dll),由rundll32.exe加載,。Rundll32然后注入一個(gè)合法的MsEdge.exe進(jìn)程連接到BazaLoader命令和控制(C2),,并通過使用Edge在Startup文件夾中創(chuàng)建一個(gè)。lnk(快捷方式)文件來建立持久性,。MsEdge.exe還可用于偵察,、收集系統(tǒng)和用戶信息,、網(wǎng)絡(luò)中的域和域信任。

  rundll32.exe進(jìn)程檢索一個(gè)Cobalt Strike信標(biāo),,使攻擊者能夠用手對(duì)鍵盤控制設(shè)備?,F(xiàn)在通過直接訪問,攻擊者對(duì)網(wǎng)絡(luò)進(jìn)行偵察,,搜索本地管理員和高權(quán)限域管理員帳戶信息,。

  攻擊者還使用ADFind進(jìn)行進(jìn)一步的廣泛偵察,ADFind是一種免費(fèi)的命令行工具,,用于發(fā)現(xiàn)活動(dòng)目錄,。通常,從這種偵察中收集的信息被保存到一個(gè)文本文件中,,并由攻擊者使用命令提示符中的“Type”命令查看,。

  一旦攻擊者在網(wǎng)絡(luò)上建立了目標(biāo)設(shè)備列表,他們就會(huì)使用Cobalt Strike定制的內(nèi)置PsExec功能橫向移動(dòng)到目標(biāo)設(shè)備,。攻擊者登陸的每個(gè)設(shè)備都與Cobalt Strike C2服務(wù)器建立連接,。此外,某些設(shè)備還被用來進(jìn)行額外的偵察,,下載旨在竊取瀏覽器口令的開源工具,。在某些情況下,攻擊者還使用WMIC橫向移動(dòng)到高價(jià)值目標(biāo),,如域控制器,。

  當(dāng)攻擊者落在選定的高價(jià)值目標(biāo)上時(shí),他們使用7-Zip來保存知識(shí)產(chǎn)權(quán)以便外逃,。歸檔文件以它們所包含的數(shù)據(jù)類型命名,,比如IT信息,或者關(guān)于安全操作,、財(cái)務(wù)和預(yù)算的信息,以及特定于每個(gè)目標(biāo)行業(yè)的細(xì)節(jié),。然后,,攻擊者使用開源工具的重命名版本RClone,將這些檔案轉(zhuǎn)移到攻擊者控制的域,。顯示從BazaCall活動(dòng)感染BazaLoader后攻擊者活動(dòng)的圖表,。

  圖5 目標(biāo)上的后續(xù)攻擊活動(dòng),包括數(shù)據(jù)滲漏和勒索軟件

  最后,,在域控制器上,,攻擊者使用ntdsutil .exe(通常用于創(chuàng)建和維護(hù)Active Directory數(shù)據(jù)庫的合法工具)來創(chuàng)建NTDS的副本。dit活動(dòng)目錄數(shù)據(jù)庫,,在%programdata%或%temp%文件夾中,,用于后續(xù)的導(dǎo)出,。被忽略的。Dit包含域內(nèi)所有用戶的用戶信息和密碼哈希,。

  在某些情況下,,數(shù)據(jù)外泄似乎是攻擊的主要目標(biāo),這通常是為未來的活動(dòng)做準(zhǔn)備,。然而,,在其他情況下,攻擊者在執(zhí)行上述活動(dòng)后部署勒索軟件,。在那些被投放勒索軟件的案例中,,攻擊者使用高特權(quán)賬戶,結(jié)合Cobalt Strike的PsExec功能,,將Ryuk或Conti勒索軟件載荷投放到網(wǎng)絡(luò)設(shè)備上

  基于跨域可見性和威脅情報(bào)的bazcall攻擊檢測(cè)

  雖然許多網(wǎng)絡(luò)安全威脅依賴于自動(dòng)的,、由戰(zhàn)術(shù)驅(qū)動(dòng)(例如,利用系統(tǒng)漏洞來丟棄惡意軟件或損害合法網(wǎng)站進(jìn)行水坑攻擊)或開發(fā)先進(jìn)的檢測(cè)逃避方法,,但攻擊者繼續(xù)在攻擊中發(fā)現(xiàn)社會(huì)工程和人際互動(dòng)方面的成功,。bazcall的活動(dòng)將其發(fā)送的電子郵件中的鏈接和附件替換為電話號(hào)碼,這給檢測(cè)帶來了挑戰(zhàn),,尤其是傳統(tǒng)的反垃圾郵件和反釣魚解決方案對(duì)這些惡意指標(biāo)的檢測(cè),。

  BazaCall的電子郵件中缺乏典型的惡意元素,其運(yùn)營商發(fā)起攻擊的速度之快,,證明了如今企業(yè)面臨的威脅越來越復(fù)雜,,越來越難以躲避。Microsoft 365 Defender提供了跨域可見性和協(xié)同防御,,以保護(hù)客戶免受此類威脅,。鑒于BazaCall的獨(dú)特特性,跨端點(diǎn)和電子郵件關(guān)聯(lián)事件的能力對(duì)它來說至關(guān)重要,。Microsoft Defender for Endpoint檢測(cè)植入物如BazaLoader和Cobalt Strike,,有效載荷如Conti和Ryuk,以及隨后的攻擊行為,。這些端點(diǎn)信號(hào)與電子郵件威脅數(shù)據(jù)相關(guān),,通知Microsoft Defender for Office 365阻止BazaCall電子郵件,即使這些電子郵件沒有典型的惡意構(gòu)件,。

  Microsoft 365 Defender進(jìn)一步使組織能夠通過豐富的調(diào)查工具(如高級(jí)狩獵)來防御這種威脅,,允許安全團(tuán)隊(duì)定位相關(guān)或類似的活動(dòng)并無縫地解決它們。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。