駭客從事網路攻擊的過程裡,濫用開源的滲透測試工具的情況越來越常見,並且使得防守者識別攻擊行為難度隨之提升,甚至可能會無法與合法的滲透測試行為進行區別。

例如,資安業者HarfangLab在調查鎖定以色列政府、企業組織的攻擊行動過程裡,找到先前未曾揭露的可疑網域,攻擊者將其用於設置C2伺服器,但特別的是,這個網域存在的時間相當長,引起了研究人員的注意。

他們循線調查駭客在攻擊過程使用的相關工具,發現對方使用可公開的惡意軟體,也有部分作案工具是自行開發,相關攻擊行動具有高度針對性,他們散布惡意酬載的管道,是利用專門為目標基礎設施量身打造的WordPress網站,研究人員指出,這些攻擊仰賴開源的惡意軟體,影響範圍甚至擴及了不同領域的垂直產業。

針對上述的攻擊行動,研究人員懷疑是資安人員的滲透測試所致,但由於相關的攻擊基礎設施並未與市面上的滲透測試業者有關,因此他們認為應該向資安社群公布相關發現。

究竟對方如何發起攻擊?研究人員在其中2起發生在2023年11月的攻擊行動裡,發現對方疑似透過特別製作的WordPress網站,散布VHD虛擬磁碟檔案格式作為初始的有效酬載,駭客使用偷渡式下載(Drive-by Download)的手法,將VHD檔植入受害電腦。

一旦使用者將VHD檔案掛載,就會在磁區看到Windows捷徑檔案(LNK),該檔案含有看似圖片的圖示,開啟後就會執行設為隱藏屬性的HTML應用程式檔案(HTA),顯示誘餌圖片降低使用者的戒心,並啟動第一階段的惡意程式。

這個圖片內容含有以色列經濟及工業局的圖標,並以希伯來文寫著:假期驚喜!抱歉,你沒有贏。

駭客使用的第一個惡意程式是以程式語言Nim打造而成,主要的用途是下載第2階段的惡意軟體,此惡意軟體濫用GlobalSign的根憑證檔案啟動SSL連線,從遠端取得惡意檔案並在記憶體內執行。

而第2階段的惡意酬載是GrassHopper,研究人員指出是結合兩種開源的工具而成,檔案大小約為15 MB。而這些遭濫用的開源工具元件,分別是Shell Code生成框架Donut,以及滲透測試框架Sliver。

在GrassHopper初始化的階段,攻擊者會進行解碼處理及使用API雜湊值解析功能函數,然後竄改Windows安全防護機制反惡意軟體掃描介面(AMSI)及Windows鎖定政策(WLDP),阻礙受害電腦安裝的防毒軟體運作,最終對應(map)與執行嵌入的酬載。

究竟這起資安事故是攻擊行動還是合法的滲透測試?研究人員推測,很有可能是企業組織的滲透測試行為。

他們進一步指出,由於這場攻擊行動相當特別,不僅攻擊範圍相當有限,目標極為明確,而且,只有少量惡意程式檔案與之有關,這代表了對方僅進行極少量的入侵嘗試,這些現象皆與駭客的攻擊行為相當不同。

再加上駭客使用的工具鏈主要由開源工具組成,僅有初始的HTA檔案及Nim下載器為自行開發,並自行架設WordPress網站做為交付有效酬載的管道,但研究人員認為上述攻擊內容小型團隊就能執行。

不過,若是滲透測試行為,上述揭露的惡意酬載已實際被利用或是散布,卻沒有任何能直接佐證是資安業者執行滲透測試的證據,再加上佯裝成政府機關或是關鍵基礎設施的名義從事相關行為,可能會造成政治局勢緊張,並導致不必要的後果。因此,他們也無法完全排除是網路攻擊的行為。

但無論實際上是那一種行為,這起資安事故的發生,突顯攻擊者有許多現成、公開的攻擊框架工具可用,使得未來的資安調查及威脅分析工作變得更加困難,成為資安人員將要面臨的挑戰。

熱門新聞

Advertisement