最新消息
Menlo Security研究 ISOMorph 感染,提出新 HTML Smuggling活動的深度分析
Menlo Security 一直在密切關注被稱之為 ISOMorph 的攻擊手法。ISOMorph利用HTML Smuggling透過逃避沙箱與舊代理等網路安全解決方案將惡意文件送到端點。而Menlo Security的隔離技術可防止此攻擊感染端點。以下是Menlo Security所看見的重大發現:
資料洩露、惡意軟體、勒索軟體、網路釣魚和 DDoS 攻擊都在增加。現在另一種類型的攻擊正在迅速出現。Menlo Labs 發現越來越多的攻擊者使用 HTML Smuggling 將惡意文件傳送到端點。ISOMorph 就是這樣運作,它在 SolarWinds 背後的威脅參與者 Nobelium 發起攻擊之後利用了這種技術,Nobelium後者在最近的魚叉式網路釣魚活動中也使用了相同的技術。Menlo Labs 已識別出使用流行的 Discord 應用程序託管惡意文件的惡意行為者。此活動 (AsyncRAT) 中使用的遠端訪問木馬 (RAT) 具有許多功能,可用於規避檢測、記錄密碼和洩露資料。感染此 RAT 的企業必須假設攻擊者的目的是洩露敏感資料。
- HTML Smuggling是一種迅速惡名昭彰的技術,用於丟棄第一階段的 dropper—惡意軟體樣本,在獲取主要文件之前最先登錄受害者的端點。 HTML Smuggling 也被用在了 Nobelium 組織最近的魚叉式網路釣魚活動中。
- 採多階段的攻擊,會檢查和禁用端點上運行的各種防毒程序。
- AsyncRAT/NJRAT 是一種遠端訪問木馬,它安裝在成功受到感染的端點上。
- 惡意行為者正在使用流行的 Discord 應用程序在此活動中託管惡意文件。根據報導,社群平台 Discord 擁有超過 1.5 億的用戶,他們使用該應用程序通過文字內容和語音進行交流。
為什麼 HTML Smuggling 會重新出現?
從 2020 年開始,當世界轉向遠端工作時,瀏覽器成為重要的工作地點。根據 Forrester 的研究中提到:「在就地避難和愈加普遍的在家工作狀況下,企業使用者報告說75%的工作者在網路瀏覽器上工作,要不就是參加虛擬會議」HTML Smuggling 透過惡意軟體有效繞過各種網路安全解決方案,包括沙箱、舊代理和防火牆。我們認為攻擊者正在使用 HTML Smuggling 將負載傳送到端點,因為瀏覽器是最薄弱的環節之一,沒有網路解決方案來阻止這些惡意負載。
技術分析
在深入研究細節之前,我們先看看攻擊的概述圖。我們根據 MITRE ATT&CK 框架將攻擊拆解為多個部分,以幫助檢測和回應團隊能輕鬆地將這些策略、技術和程序 (TTP) 納入框架中。
初始訪問
Menlo Labs 已經發現攻擊者使用電子郵件附件和網路偷渡下載來利用 HTML Smuggling。
什麼是 HTML Smuggling?
HTML Smuggling 是攻擊者使用 JavaScript 在 HTML 頁面上以編程方式建構惡意負載的技術,而不是發出 HTTP 請求以獲取網路服務器上的資源。這種技術既不是瀏覽器技術中的漏洞也不是設計缺陷,網路人員經常使用這種技術來優化文件下載。
ISOMorph 如何使用這種技術?
ISOMorph背後的攻擊者使用以下 JavaScript 代碼直接在瀏覽器上建構有效負載。
簡單來說,JavaScript 代碼正在創立一個元素“a”,將 HREF 設置為 blob 並以編程方式點擊它以觸發對端點的下載。 一旦有效負載下載到端點,用戶必須打開它才能執行惡意代碼。
執行--第一階段有效負載
下載到端點的是 ISO 文件。為什麼是 ISO 文件?ISO 文件包含在端點上安裝軟體所需的所有文件/文件夾。攻擊者總是在測試網路和電子郵件閘道設備以查看哪些文件格式可以免於檢查,然後他們將這些免除文件格式合併到他們的 TTP 中。所以ISO文件格式是攻擊者的首選,因為它們不需要安裝任何其他軟體。
上面的螢幕截圖顯示了 ISO 文件的內容。 雖然上面的螢幕截圖有一個 VBScript 腳本,但我們已經確定了許多不同的惡意腳本正在被使用。以下是我們觀察到的嵌入 ISO 文件的所有惡意腳本的列表:
Bills-19877733351.vbs
Bills-bbt-89567815.vbs
Spectrum (statement).vbs
INVOICE-992771.vbs
BBT-Invoice-71213241.DOCX.vbe
Order_ConfirmationID717323644552844.js
Order-ID693913086962206.vbs
court .vbs
一旦 VBScript 腳本被執行,它就會獲取額外的 PowerShell 腳本。以下流程圖詳細說明了導致執行第一階段有效負載的操作。
實現持久性
ISOMorph 透過首先在“C:Program Data”下建立一個名為“Microsoft ArtsStart”的 Windows 目錄來實現持久性。 然後將““User Shell Folders” 和 “Shell Folders”下的註冊表項值指向先前建立的目錄。然後,PowerShell 腳本會在“C:Program DataMicrosoft ArtsStart”目錄下下載名為“Dicord.lnk”的文件。下圖是 PowerShell 腳本的片段,它顯示了設置到註冊表項值,以使惡意代碼能夠在啟動時執行。
規避偵測手法
此活動背後的惡意行為者透過代理執行惡意代碼,將其標示 MSBuild.exe。 MSBuild 是一個受信任的程序,因此透過 MSBuild,可以輕鬆繞過應用程序白名單解決方案。惡意行為者使用反射將 DLL 文件加載到內存中,並將 RAT 負載加入 MSBuild.exe。反射使開發人員能夠獲取有關加載的 DLL 文件及其中定義的類型、使用方法等訊息。AV 通常查看監視 LoadLibrary API 加載的具有 .dll 檔案名的任何文件。透過反射加載 DLL 文件並使用某些方法,惡意軟體作者可以繞過 AV 軟體。這直接反射到 MITRE ATT&CK 框架中的技術 T1127.001。
命令與控制
從上一步可以看出,.NET RAT 負載中的一個方法(WpfControlLibary1.LOGO.hahaha)被調用以啟動 AsyncRAT 功能。AsyncRAT 使用 AES 加密其配置,如下所示。
Base64字元串是 RAT 的加密配置。 使用編碼的 AES 密鑰解密後,我們可以看到 RAT 的 CnC 服務器主機/端口、版本和其他設置。
威脅參與者和活動訊息
以下是我們一直在VirusTotal上追蹤的活動螢幕截圖。該活動是向公眾開放的。
NJRAT/AsyncRAT 是被投放到端點的遠端訪問木馬。儘管多年來該 RAT 系列已被許多不同的參與者使用,但它主要用於破壞中東的高價值目標。雖然這些團體使用了 RAT,但這並不意味著這些團體支持這個特定活動。 已知以下團體使用 NJRAT:
結論:
攻擊者不斷測試更新的方法以將其有效負載發送到端點。Menlo Labs 注意到使用 HTML Smuggling 進行初始訪問的惡意行為者有所增加。這種技術越來越受歡迎,因為攻擊者可以在繞過所有網路檢查和分析工具的同時將有效負載發送到端點。此外,由於有效負載是直接在瀏覽器上建立的,因此 SIEM 和 EDR 工具的日誌記錄和可見性存在著差距。Menlo Labs 堅信了解和理解初始訪問方法對於強大的預防、檢測和響應策略至關重要,我們決心要防堵這巨大漏洞。採用 Menlo Security的隔離技術,能將這些惡意程式屏除在外,為資安系統提供強大的安全堡壘防護。
