社會工程、郵件釣魚、電話詐騙三管齊下--新型網(wǎng)絡(luò)攻擊BazaCall強勢來襲
2021-08-02
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
微軟研究人員在7月29日發(fā)布的一份博客文章指出,一種勒索軟件攻擊新方式正在流行,利用虛假的呼叫中心誘使受害者下載惡意軟件,可能比之前認(rèn)為的更危險。由于惡意軟件并不存在于郵件本身的鏈接或文檔中,這種騙局有助于攻擊者繞過一些網(wǎng)絡(luò)釣魚和惡意軟件檢測服務(wù)。
今年2月,帕洛阿爾托網(wǎng)絡(luò)公司(Palo Alto Networks)的研究人員首先注意到了這個名為“bazcall”(BazarCall)的活動。
今年5月微軟首次發(fā)現(xiàn)并對其進(jìn)行調(diào)查,攻擊者偽裝成訂閱服務(wù)提供商,引誘受害者使用手機取消一項不存在的訂閱。一旦接通呼叫中心,工作人員就會指導(dǎo)他們將惡意軟件下載到電腦上。
研究人員現(xiàn)在表示,這種惡意軟件不僅像之前認(rèn)為的那樣,讓黑客可以通過一次性的后門進(jìn)入設(shè)備,而且還可以遠(yuǎn)程控制受影響的系統(tǒng)。犯罪分子通過電子郵件引誘目標(biāo),暗示某種服務(wù)的訂閱即將到期,比如健身會員。最近的活動已經(jīng)變?yōu)檐浖S可的確認(rèn)收據(jù)。傳統(tǒng)的惡意軟件可能會引導(dǎo)用戶打開郵件中的鏈接或下載附件。bazcall的不同之處在于,每封電子郵件都包含一個唯一的ID號碼,并指示用戶撥打一個電話號碼,將他們與真人聯(lián)系起來。呼叫代理指示他們訪問一個看起來合法的網(wǎng)站,并告訴他們從帳戶頁面下載一個文件來取消訂閱。一旦用戶在下載的文檔上啟用宏,惡意軟件就會從Cobalt Strike信標(biāo)發(fā)送。該工具是為合法目的而設(shè)計的,使用它可以幫助掩蓋惡意活動。
微軟的報告稱,雖然這樣的行動需要黑客掌握更多社會工程技術(shù),但這種投遞方式使垃圾郵件和釣魚郵件檢測軟件基本失效。這可能使該方法成為試圖繞過日益嚴(yán)格審查的勒索軟件行動者的強大工具。
攻擊流程概述
微軟在7月29日的博客中表示,對BazaCall活動的持續(xù)調(diào)查,即那些使用欺詐性呼叫中心誘騙毫無戒心的用戶下載BazaLoader惡意軟件的活動,表明這種威脅比其他安全博客中公開討論和媒體報道的威脅更危險。除了具有后門功能外,來自這些活動的BazaLoader負(fù)載還為遠(yuǎn)程攻擊者提供了對受影響用戶設(shè)備的手動鍵盤控制,從而實現(xiàn)了快速的網(wǎng)絡(luò)攻擊。根據(jù)我們的觀察,源自 BazaCall 威脅的攻擊可以在網(wǎng)絡(luò)內(nèi)快速移動,進(jìn)行廣泛的數(shù)據(jù)泄露和憑據(jù)盜竊,并在初始入侵后的48 小時內(nèi)分發(fā)勒索軟件。
BazaCall活動放棄電子郵件中的惡意鏈接或附件,轉(zhuǎn)而使用誘導(dǎo)受害者撥打的電話號碼。這是一種讓人聯(lián)想到網(wǎng)絡(luò)釣魚和技術(shù)支持詐騙的技術(shù),其中潛在的受害者被攻擊者冷呼叫,但在BazaCall的情況下,目標(biāo)用戶必須撥打該號碼。當(dāng)他們這樣做時,用戶會與線路另一端的實際人員聯(lián)系起來,然后他們提供將惡意軟件安裝到他們的設(shè)備中的步驟說明。因此,BazaCall活動需要與人類和社會工程策略的直接電話溝通才能取得成功。此外,投遞方法中沒有明顯的惡意元素可能會使垃圾郵件和網(wǎng)絡(luò)釣魚電子郵件檢測的傳統(tǒng)方法無效。
圖1 典型的 BazaCall 攻擊流程,從垃圾郵件到社會工程,
再到正在下載的有效負(fù)載和手動鍵盤攻擊
通過上述手動鍵盤控制,在BazaCall的攻擊鏈中使用另一種人為因素,進(jìn)一步使這種威脅比傳統(tǒng)的自動化惡意軟件攻擊更危險、更容易躲避。BazaCall活動強調(diào)了跨域可見的重要性以及關(guān)聯(lián)事件在構(gòu)建針對復(fù)雜威脅的全面防御方面的能力。
言精心設(shè)計的誘騙郵件
BazaCall的活動從一封電子郵件開始,利用各種社會工程誘餌誘使目標(biāo)收件人撥打一個電話號碼。例如,電子郵件通知用戶一個假定的到期的試用訂閱,他們的信用卡將很快自動收取訂閱的高級版本的費用。該活動中的每一波郵件都使用了不同的訂閱“主題”,這些訂閱主題本應(yīng)到期,比如照片編輯服務(wù)或烹飪和食譜網(wǎng)站會員資格。在最近的一次活動中,電子郵件取消了訂閱試用的角度,取而代之的是作為購買軟件許可的確認(rèn)收據(jù)。
與典型的垃圾郵件和釣魚郵件不同,BazaCall的郵件正文中沒有用戶必須點擊或打開的鏈接或附件。相反,如果用戶有問題或擔(dān)憂,它會指示用戶撥打電話號碼。缺乏典型的惡意元素——鏈接或附件——增加了檢測和搜索這些電子郵件的難度。此外,如果用戶接受過嚴(yán)格的訓(xùn)練,避免典型的網(wǎng)絡(luò)釣魚和惡意郵件,但沒有學(xué)會警惕社會工程技術(shù),那么電子郵件內(nèi)容的信息傳遞也可能增加一種合法性的氛圍。
圖2 這是一封典型的bazcall電子郵件,聲稱用戶的照片編輯服務(wù)試用期即將到期,并將自動收取費用。提供虛假的客戶服務(wù)號碼,幫助取消訂閱
bazcall的每一封郵件都來自不同的發(fā)件人,通常使用免費的電子郵件服務(wù)和可能被泄露的電子郵件地址。電子郵件中的誘餌使用與真實企業(yè)名稱相似的假企業(yè)名稱。然后,收件人在網(wǎng)上搜索該公司名稱,以檢查電子郵件的合法性,可能會被誤導(dǎo),認(rèn)為這樣的公司存在,他們收到的信息是有價值的。
下面列出了一些示例主題行。它們每個都有一個唯一的“賬號”,由攻擊者創(chuàng)建,用來識別收件人:
很快你就會成為高級會員,因為演示期即將結(jié)束。個人身份證:KT[唯一身份證號碼]
自動高級會員續(xù)簽通知GW[唯一ID號]
你的演示階段差不多結(jié)束了。您的用戶賬號VC[唯一ID號碼]。一切都準(zhǔn)備好了嗎?
通知一處廢棄的交通事故現(xiàn)場!一定要找經(jīng)理![電子郵件正文包含唯一ID號碼]
感謝你決定成為BooyaFitness的會員。健身計劃從來沒有這么簡單過[電子郵件正文包含唯一的ID號]
您的訂閱將更改為黃金會員,因為試驗即將結(jié)束。訂單:KT[唯一身份證號]
你的自由時間快結(jié)束了。您的會員賬號VC[唯一身份證號]。準(zhǔn)備好繼續(xù)前進(jìn)了嗎?
謝謝你得到WinRAR pro計劃。您的訂單號是WR[唯一標(biāo)識號]。
非常感謝您選擇WinRAR。您需要查看您的許可證信息[電子郵件正文包含唯一ID號]
雖然觀察到的大多數(shù)活動的主題行都包含類似的關(guān)鍵字和偶爾的表情符號,但每一個都是獨特的,因為它包含特定于收件人的字母數(shù)字序列。這個序列總是以用戶ID或交易代碼的形式呈現(xiàn),但它實際上是攻擊者識別接收方并跟蹤后者對活動的響應(yīng)的一種方法。唯一標(biāo)識號的模式大致相同,可以用正則表達(dá)式表示,如L0123456789、KT01234567891。
誘導(dǎo)執(zhí)行惡意代碼
如果目標(biāo)收件人決定撥打電子郵件中顯示的電話號碼,他們將與bazcall運營商設(shè)立的欺詐性呼叫中心的真人通話。呼叫中心代理充當(dāng)下一階段攻擊的通道:在他們的對話期間,代理告訴調(diào)用者,他們可以幫助取消假定的訂閱或事務(wù)。為此,代理要求來電者訪問一個網(wǎng)站。
這些網(wǎng)站被設(shè)計得看起來像合法的企業(yè),其中一些甚至假冒真實的公司。然而,我們注意到,一些域名并不總是與電子郵件中包含的虛擬企業(yè)的名稱相匹配。例如,一封聲稱用戶“Pre Pear Cooking”的免費試用即將到期的電子郵件,就與域名“topcooks[.]us”配對。bazcall活動中使用的網(wǎng)站截圖。
圖3 bazcall活動中使用的樣本網(wǎng)站。它模仿了一個真正的食譜網(wǎng)站,但受到了攻擊者的控制
然后呼叫中心代理指示用戶導(dǎo)航到帳戶頁面并下載文件以取消訂閱。該文件是一個啟用宏的Excel文檔,其名稱如“cancel_sub_[惟一ID號].xlsb”。請注意,在某些情況下,研究人員觀察到,即使啟用了Microsoft Defender SmartScreen等安全過濾器,用戶也會故意繞過它來下載文件,這表明呼叫中心代理可能會指示用戶繞過安全協(xié)議,他們威脅說,如果他們不這樣做,他們的信用卡就會被扣款。這再次證明了BazaCall攻擊中使用的社交工程策略的有效性。
下載的Excel文件顯示一個虛假的通知,說它受到Microsoft Office的保護。然后,呼叫中心代理指示用戶單擊按鈕,使編輯和內(nèi)容(宏)能夠查看電子表格的內(nèi)容。如果用戶啟用宏,則BazaLoader惡意軟件將被發(fā)送到設(shè)備。從BazaCall活動使用的網(wǎng)站下載Excel文件的截圖。
圖4 攻擊者使用的Excel文檔,提示用戶啟用惡意代碼
關(guān)鍵數(shù)據(jù)竊取過程
在Excel文檔中啟用的宏會在%programdata%文件夾中創(chuàng)建一個隨機字符串命名的新文件夾。然后,它從System文件夾中復(fù)制certutil.exe,一個已知的本地二進(jìn)制文件(LOLBin),并將certutil.exe的拷貝放到新創(chuàng)建的文件夾中,作為一種防御規(guī)避的手段。最后,對certutil.exe的副本進(jìn)行重命名,以匹配文件夾名稱中的隨機字符串。
然后宏使用新命名的certutil.exe副本連接到攻擊者的基礎(chǔ)設(shè)施并下載BazaLoader。下載的有效載荷是一個惡意的動態(tài)鏈接庫(。dll),由rundll32.exe加載。Rundll32然后注入一個合法的MsEdge.exe進(jìn)程連接到BazaLoader命令和控制(C2),并通過使用Edge在Startup文件夾中創(chuàng)建一個。lnk(快捷方式)文件來建立持久性。MsEdge.exe還可用于偵察、收集系統(tǒng)和用戶信息、網(wǎng)絡(luò)中的域和域信任。
rundll32.exe進(jìn)程檢索一個Cobalt Strike信標(biāo),使攻擊者能夠用手對鍵盤控制設(shè)備?,F(xiàn)在通過直接訪問,攻擊者對網(wǎng)絡(luò)進(jìn)行偵察,搜索本地管理員和高權(quán)限域管理員帳戶信息。
攻擊者還使用ADFind進(jìn)行進(jìn)一步的廣泛偵察,ADFind是一種免費的命令行工具,用于發(fā)現(xiàn)活動目錄。通常,從這種偵察中收集的信息被保存到一個文本文件中,并由攻擊者使用命令提示符中的“Type”命令查看。
一旦攻擊者在網(wǎng)絡(luò)上建立了目標(biāo)設(shè)備列表,他們就會使用Cobalt Strike定制的內(nèi)置PsExec功能橫向移動到目標(biāo)設(shè)備。攻擊者登陸的每個設(shè)備都與Cobalt Strike C2服務(wù)器建立連接。此外,某些設(shè)備還被用來進(jìn)行額外的偵察,下載旨在竊取瀏覽器口令的開源工具。在某些情況下,攻擊者還使用WMIC橫向移動到高價值目標(biāo),如域控制器。
當(dāng)攻擊者落在選定的高價值目標(biāo)上時,他們使用7-Zip來保存知識產(chǎn)權(quán)以便外逃。歸檔文件以它們所包含的數(shù)據(jù)類型命名,比如IT信息,或者關(guān)于安全操作、財務(wù)和預(yù)算的信息,以及特定于每個目標(biāo)行業(yè)的細(xì)節(jié)。然后,攻擊者使用開源工具的重命名版本RClone,將這些檔案轉(zhuǎn)移到攻擊者控制的域。顯示從BazaCall活動感染BazaLoader后攻擊者活動的圖表。
圖5 目標(biāo)上的后續(xù)攻擊活動,包括數(shù)據(jù)滲漏和勒索軟件
最后,在域控制器上,攻擊者使用ntdsutil .exe(通常用于創(chuàng)建和維護Active Directory數(shù)據(jù)庫的合法工具)來創(chuàng)建NTDS的副本。dit活動目錄數(shù)據(jù)庫,在%programdata%或%temp%文件夾中,用于后續(xù)的導(dǎo)出。被忽略的。Dit包含域內(nèi)所有用戶的用戶信息和密碼哈希。
在某些情況下,數(shù)據(jù)外泄似乎是攻擊的主要目標(biāo),這通常是為未來的活動做準(zhǔn)備。然而,在其他情況下,攻擊者在執(zhí)行上述活動后部署勒索軟件。在那些被投放勒索軟件的案例中,攻擊者使用高特權(quán)賬戶,結(jié)合Cobalt Strike的PsExec功能,將Ryuk或Conti勒索軟件載荷投放到網(wǎng)絡(luò)設(shè)備上
基于跨域可見性和威脅情報的bazcall攻擊檢測
雖然許多網(wǎng)絡(luò)安全威脅依賴于自動的、由戰(zhàn)術(shù)驅(qū)動(例如,利用系統(tǒng)漏洞來丟棄惡意軟件或損害合法網(wǎng)站進(jìn)行水坑攻擊)或開發(fā)先進(jìn)的檢測逃避方法,但攻擊者繼續(xù)在攻擊中發(fā)現(xiàn)社會工程和人際互動方面的成功。bazcall的活動將其發(fā)送的電子郵件中的鏈接和附件替換為電話號碼,這給檢測帶來了挑戰(zhàn),尤其是傳統(tǒng)的反垃圾郵件和反釣魚解決方案對這些惡意指標(biāo)的檢測。
BazaCall的電子郵件中缺乏典型的惡意元素,其運營商發(fā)起攻擊的速度之快,證明了如今企業(yè)面臨的威脅越來越復(fù)雜,越來越難以躲避。Microsoft 365 Defender提供了跨域可見性和協(xié)同防御,以保護客戶免受此類威脅。鑒于BazaCall的獨特特性,跨端點和電子郵件關(guān)聯(lián)事件的能力對它來說至關(guān)重要。Microsoft Defender for Endpoint檢測植入物如BazaLoader和Cobalt Strike,有效載荷如Conti和Ryuk,以及隨后的攻擊行為。這些端點信號與電子郵件威脅數(shù)據(jù)相關(guān),通知Microsoft Defender for Office 365阻止BazaCall電子郵件,即使這些電子郵件沒有典型的惡意構(gòu)件。
Microsoft 365 Defender進(jìn)一步使組織能夠通過豐富的調(diào)查工具(如高級狩獵)來防御這種威脅,允許安全團隊定位相關(guān)或類似的活動并無縫地解決它們。