針對今年年初開始出現的BazaCall釣魚郵件攻擊行動,微軟披露了詳細的攻擊流程,并指出攻擊者可能會在受害電腦網絡傳播勒索軟件Conti或Ryuk。
微軟安全情報團隊在6月23日發布警告稱,利用電話客服傳播惡意軟件BazaCall(又名BazarCall)的釣魚郵件攻擊行動,攻擊者的目標疑似是Office 365用戶,會在受害電腦中植入勒索軟件。當時對于攻擊行動的細節說明相當有限,僅提及大致的攻擊流程,及攻擊者會人為操作并植入勒索軟件,過程中會使用Cobalt Strike等信息。直到7月29日,微軟公布了新的調查結果,披露了此類攻擊的完整流程,以及作為誘餌的釣魚郵件如何躲避郵件防護系統偵測,以及入侵受害者電腦之后,將會利用多種合法工具攻擊整個企業網域,并對于網絡設備植入特定勒索軟件等細節。同時,微軟也針對BazaCall各攻擊階段的威脅獵捕,提供了進階威脅查詢指令。
對于BazaCall的攻擊手法,微軟表示,攻擊者會在受害環境的網絡環境快速移動,泄露大量資料并竊取賬戶密碼,然后在成功入侵后的48個小時內,植入勒索軟件Conti或Ryuk。
圖1 典型的BazaCall攻擊流程:從垃圾郵件到社會工程,再到下載有效負載及手動鍵盤攻擊
在持續調查后,微軟發現,在BazaCall的攻擊過程里,黑客利用社會工程和人為操控的方式,不像一般惡意軟件所采用的自動化攻擊策略,從而更容易逃過安全防護系統的檢測。微軟認為,BazaCall的這種策略比起目前已被公開的情況還要危險,因此決定要披露相關細節。
這種利用客服電話的攻擊手法,攻擊者先是發送釣魚郵件,郵件內容是偽裝成收件人訂閱的網絡或軟件服務試用到期,接下來將會收取高額的訂閱費用,而使得被害人心生恐懼,按照郵件指示撥打“客服專線”,來取消有關服務。但實際上,這個由攻擊者安排的“客服”,會指示上鉤的受害者下載帶有宏的Excel文檔,一旦這個文檔被開啟,就會在受害電腦植入BazaLoader惡意程序,并建立C2中繼站的連線,來進行后續的攻擊行動。
微軟曾經提及這種釣魚郵件缺乏可被識別的元素,而使得一般郵件防護系統可能難以察覺異常狀態。BazaCall的釣魚郵件沒有夾帶附件或是URL鏈接,而這些正是郵件防護系統判別郵件內容是否可能有害的依據之一。
而為了讓收件人會撥打電話給“客服”,攻擊者也制造出以假亂真的氛圍。例如,攻擊者在每一波的釣魚郵件都會使用不同的服務訂閱名義,例如照片編輯服務或是烹飪交流網站的會員資格,但相同的都是宣稱服務訂閱將要到期。微軟指出,攻擊者疑似為了增加收件人撥打電話的意愿,在最近一次的BazaCall攻擊行動中,釣魚郵件內容改為購買軟件授權的收據確認郵件。
圖2 典型的BazaCall電子郵件:聲稱用戶的照片編輯服務試用期即將到期,將自動收取費用,并提供虛假的客戶服務號碼以幫助取消訂閱。
BazaCall攻擊者以收件人購買了知名解壓縮軟件WinRAR的名義,發送訂購成功的通知郵件,在這封郵件中聲稱收件人購買了20臺電腦授權,價值320美元,有2個星期時間可以撥打郵件里隨附的“客服專線”取消購買。要是收件人撥打了這個專線電話,“客服人員”就會指示下載惡意Excel文檔進行后續攻擊行動。
微軟指出,為了規避郵件防護系統通過發件人黑名單的過濾方式,每封BazaCall郵件都是由不同的發件人發出,而這些發件人的電子郵件地址,有可能是被盜用的,或是免費的電子郵件地址。為了讓收件人相信郵件來自真實的公司郵箱,發件人也會謊稱是來自與真實企業相似名稱的公司,即使收件人通過網絡搜索進行確認,還是有可能會上當。因為,攻擊者還架設了以假亂真的“官方網站”。
究竟這些釣魚郵件,與真實的購買網絡服務或是軟件授權通知郵件有多么相似?微軟表示,大部分的BazaCall郵件都會顯示用戶ID,而使得收收件人誤以為自己真的是他們的用戶。但實際上,這組ID不只是用來欺騙收件人,還是攻擊者追蹤受害者的識別碼。
一旦收件人依照指示打電話給“客服”,并下載了宣稱是取消訂閱所需填寫的Excel表格,BazaCall的客服還從中下了指導棋。微軟發現,有些使用者會繞過SmartScreen等過濾機制,來下載他們已經標示有問題的惡意文檔,這代表“客服人員”很可能從中指示要如何操作,并威脅如果不照做的話,信用卡就會被扣款。此外,“客服人員”也會要求使用者在開啟上述Excel文檔后,啟用宏功能。
這個Excel的宏一旦被觸發后,便會采用Living Off-the-Land的手法,復制Windows系統里的certutil.exe,并利用這個副本下載BazaLoader,這是惡意動態鏈接庫(DLL),由rundll32.exe加載。然后rundll32注入合法的MsEdge.exe進程,以連接到BazaLoader命令和控制(C2),并通過使用Edge創建一個。lnk(快捷方式)文件到Startup文件夾中的有效負載來建立持久性。注入的MsEdge.exe還用于偵察、收集系統和用戶信息、網絡上的域以及域信任等。
而為了能讓攻擊者能遠程手動控制,以及找尋網域管理員賬號等信息,此時rundll32.exe會下載滲透測試工具Cobalt Strike。通過直接訪問,攻擊者對網絡進行偵察并搜索本地管理員和高權限域管理員賬戶信息。
攻擊者還使用ADFind進行進一步廣泛的偵察,ADFind是一種專為Active Directory發現而設計的免費命令行工具。通常,從偵察中收集的信息會保存到一個文本文件中,并由攻擊者使用命令提示符中的“Type”命令進行查看。
一旦攻擊者在網絡上建立了目標設備列表,就會使用Cobalt Strike的自定義內置PsExec功能橫向移動到目標。攻擊者登陸的每臺設備都會與Cobalt Strike C2服務器建立連接。此外,某些設備通過下載旨在竊取瀏覽器密碼的開源工具來進行額外的偵察。在某些情況下,攻擊者還使用WMIC橫向移動到高價值目標,例如域控制器。
一旦攻擊者發現具有高價值的目標,他們會使用7-Zip打包資料,并利用開源工具RClone的重命名版本將這些檔案泄露到攻擊者控制的域中。在域控制器設備上,攻擊者使用NTDSUtil.exe在%programdata%或%temp%中創建NTDS.dit Active Directory數據庫副本文件夾,用于后續滲漏。NTDSUtil是一種通常用于創建和維護Active Directory數據庫的合法工具,NTDS.dit包含域中所有用戶的用戶信息和密碼哈希。
圖3 入侵攻擊目標后的活動,包括滲透及勒索軟件
微軟發現,數據泄露是BazaCall攻擊的主要目的,但攻擊者也會在上述活動完成后在網絡中部署勒索軟件。攻擊者使用高權限受損賬戶,結合Cobalt Strike的PsExec功能,將Ryuk或Conti勒索軟件有效載荷植入到網絡設備上。
盡管許多網絡安全威脅依賴于自動操控戰術,例如,利用系統漏洞投放惡意軟件、破壞合法網站進行水坑攻擊,或開發先進的檢測規避方法,但攻擊者繼續在攻擊中發現社會工程和人機交互方面獲得成功。BazaCall活動將發送的電子郵件中的鏈接和附件替換為電話號碼,這給檢測帶來了挑戰,特別是通過傳統的反垃圾郵件和反釣魚解決方案來檢查這些惡意指標。
BazaCall的電子郵件中缺乏典型的惡意元素,而且其運營商能夠以極快的速度進行攻擊,這說明了當今企業面臨的威脅也越來越復雜,越來越難以避免。
