近期水坑攻击案例(第一部分)

科技   2024-12-22 15:02   广东  

如今,许多人可能已经认识到利用 VPN 和防火墙等公开暴露资产中的漏洞作为攻击媒介。事实上,许多报告给 JPCERT/CC 的安全事件也涉及此类设备。这是因为 VPN 设备中的漏洞不仅被 APT 组织利用,还被勒索软件参与者和网络犯罪参与者等许多其他组织利用,因此事件数量很高。另一方面,随着来自这些特定攻击媒介的安全事件数量的增加,人们往往会忘记针对其他攻击媒介的对策。攻击者使用各种方法进行攻击,包括电子邮件、网站和社交网络服务。图 1 显示了 JPCERT/CC 已确认的与有针对性攻击相关的安全事件时间线。

图 1:JPCERT/CC 在 2023 年至 2024 年期间确认的针对性攻击

从该图可以看出,用于渗透网络的方法有很多。在本文中,我们将介绍近年来很少受到关注的两起日本水坑攻击案例。我们希望您在规划安全措施时会发现这些安全事件很有用。第 1 部分介绍了 2023 年大学研究实验室网站被利用的案例。

攻击流程

图2显示了水坑攻击的流程。当用户访问被篡改的网站时,会显示伪造的Adobe Flash Player更新屏幕,如果用户按照指示下载并执行文件,其计算机就会感染恶意软件。

图 2:攻击流程

被感染的网站嵌入了JavaScript,如图3所示,当用户访问该网站时,会显示日文弹窗消息。

图 3:被篡改网站中嵌入的恶意代码

此次水坑攻击的特点之一是,它没有利用漏洞进行恶意软件感染,而是使用社会工程学技术来诱骗访问网站的用户自行下载并执行恶意软件。

攻击中使用的恶意软件

此次攻击下载的恶意软件FlashUpdateInstall.exe会显示如图4所示的诱饵文档,并具有创建和执行核心恶意软件(system32.dll)的功能。诱饵文档是一个文本文件,其中包含一串文本,表示Adobe Flash Player更新成功。

图4:恶意软件代码示例

生成的 system32.dll 被注入到 Explorer 进程中(Early Bird Injection)。这个 DLL 文件比较特殊,因为它被 Cobalt Strike Beacon(版本 4.5)篡改过,水印为666666。有关 Cobalt Strike 的详细配置信息,请参阅附录 D。

同一组织发起的袭击示例

此次水坑攻击涉及的攻击组织尚不清楚。C2 服务器托管在 Cloudflare 的边缘无服务器服务 Cloudflare Workers 上。此外,我们还确认同一攻击者正在进行其他攻击。图 5 显示了通过对 C2 服务器的调查确认的其他类型恶意软件的行为。

图 5:可能由同一攻击者使用的恶意软件

请看图5。在第一个例子中,攻击者将文件名伪装成经济产业省的文件,并使用经济产业省发布的文件作为诱饵。此外,第二个例子中使用的恶意软件(Tips.exe)具有允许在执行时指定选项的功能。可以指定的选项如下。

  • --is_ready:设置模式

  • --sk:禁用反分析功能

  • --doc_path:保存诱饵文档的文件夹

  • --parent_id:恶意软件的进程 ID

  • --parent_path:恶意软件的执行路径

  • --auto:恶意软件执行模式


“C:\Users\Public\Downloads\Tips.exe” --is_ready=1 --sk=0 --doc_path='[current_path]' --parent_id=[pid] --parent_path='[malware_file]'

该样本使用了一种罕见的技术:在执行DLL文件时使用EnumWindows和EnumUILanguages函数。

图6:DLL注入技术

此外,该恶意软件还可以停止防病毒软件(进程名:avp.exe),并具有检测以下内容作为反分析功能。

  • 是否有超过40个进程

  • 内存大小是否大于0x200000000(约8G)

  • 物理驱动器名称中是否包含以下任何一项

  • VBOX

  • Microsoft 虚拟磁盘

  • 虚拟机

结束语

希望本文能对大家的安全措施有所帮助,第二部分我们将继续介绍水坑攻击的案例。


感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里

Ots安全
持续发展共享方向:威胁情报、漏洞情报、恶意分析、渗透技术(工具)等,不会回复任何私信,感谢关注。
 最新文章