[iThome文章分享] 勒索軟體Atom Silo透過協作平臺Confluence入侵組織，並企圖防礙防毒軟體運作

團隊協作平臺Confluence的重大漏洞CVE-2021-26084，Atlassian甫於8月底修補完成，9月初就傳出遭到攻擊者利用，美國當局因此提出警告，呼籲用戶要儘速修補Confluence伺服器，不久之後，又有資安研究人員提出新發現：攻擊者已利用含有漏洞的Confluence來挖礦牟利（其中，持續整合（CI）工具Jenkins證實他們已棄用的協作平臺伺服器受害）。

現在，此項漏洞也被勒索軟體駭客盯上。資安業者Sophos於10月4日，揭露自9月中旬出現的Atom Silo勒索軟體攻擊行動，而在這起事故中，攻擊者入侵受害組織的管道，就是藉由上述的Confluence漏洞，再橫向感染其他處於相同區域網路的電腦。

關於Atom Silo的特徵，Sophos表示，它與LockFile幾乎相同，但攻擊者運用了一些新手法，而使得調查極為困難，例如，攻擊者使用側載惡意動態程式庫的方式，來中斷Sophos端點防毒軟體的運作。

透過協作平臺漏洞入侵，植入後門程式

關於此次勒索軟體的攻擊，是發生在9月24日，但其實駭客在9月13日，就攻擊受害組織的Confluence伺服器，侵入管道是物件圖導航語言（Object Graph Navigation Language，OGNL）注入漏洞CVE-2021-26084，對方經由程式碼注入攻擊而在受害者系統上形成了後門，使得攻擊者後續能夠下載作案工具並執行。

除了上述漏洞產生的後門，攻擊者透過惡意酬載於Confluence伺服器上，植入第2個後門程式──這個後門由3個檔案組成，其中一個為具有合法簽章的可執行檔案，攻擊者用來側載惡意DLL程式庫。

而這個惡意DLL檔案的啟動方式，是被冒充為可執行檔案所需的程式庫，與可執行檔案存放於相同的資料夾，以便讓可執行檔案運作時存取，這種手法被稱為DLL搜尋順序挾持（DLL Search Order Hijacking）。

至於該惡意檔案的作用，是讀取最後一個檔案mfc.ini，來解密並載入後門。

上述DLL載入的惡意程式碼內容，會使用TCP/IP的80連接埠，存取1個中繼站的主機名稱，程式碼一旦載入，攻擊者就能透過Windows管理介面（WMI），遠端執行Shell命令。接下來，駭客可以開始橫向移動，並在5個小時內入侵數臺伺服器。

利用核心驅動程式與駭客工具，讓防毒軟體無法正常運作

前述入侵工作完成之後，攻擊者一直到了9月24日，才再度行動。他們開始探索受害組織的重要伺服器，並遠端操作RClone軟體，將資料到外洩到攻擊者持有的雲端檔案同步服務（特定Dropbox使用者帳號的雲端儲存空間）。

等到資料傳輸完成，他們便將勒索軟體Atom Silo的相關檔案，上傳到網域控制器，再藉由群組原則的套用，感染網域裡的所有電腦。而在啟動勒索軟體之前，攻擊者也利用核心驅動程式檔案drv64.dll，來干擾受害電腦安裝的Sophos防毒軟體運作，並且停用Sophos的檔案掃描服務。

那麼，若是端點偵測與反應系統（EDR）遇到這個惡意軟體，又會是如何呢？Sophos表示，雖然他們的端點防護軟體Intercept X，能透過CryptoGuard功能偵測到勒索軟體，但攻擊者會接著發動第2波攻擊，將第2個攻擊執行檔，植入Windows的使用者桌面資料夾，使得防護遭到破壞，並且再度更新群組原則來執行Atom Silo。

原文連結：https://www.ithome.com.tw/news/147102