《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > Microsoft:HTML走私攻擊分析

Microsoft:HTML走私攻擊分析

2021-11-19
來源:維他命安全
關(guān)鍵詞: html 走私攻擊

  摘要

  HTML走私是一種高度規(guī)避的惡意軟件交付技術(shù),它利用合法的HTML5和JavaScript功能,越來越多地用于部署銀行惡意軟件、遠(yuǎn)程訪問木馬(RAT)和其它與目標(biāo)攻擊有關(guān)的Payload的電子郵件攻擊活動。值得注意的是,這種技術(shù)在5月份NOBELIUM的魚叉式網(wǎng)絡(luò)釣魚活動中被觀察到。最近,我們還發(fā)現(xiàn)這種技術(shù)傳遞了銀行木馬Mekotio,以及AsyncRAT/NJRAT和Trickbot,這些惡意軟件被攻擊者用來控制目標(biāo)設(shè)備并傳遞勒索軟件Payload和其它威脅。

  顧名思義,HTML走私讓攻擊者在專門制作的HTML附件或網(wǎng)頁中 “走私”編碼的惡意腳本。當(dāng)目標(biāo)用戶在他們的web瀏覽器中打開HTML時,瀏覽器會對惡意腳本進(jìn)行解碼,進(jìn)而在主機(jī)設(shè)備上組裝Payload。因此,攻擊者不是讓惡意的可執(zhí)行文件直接通過網(wǎng)絡(luò),而是在防火墻后面的本地建立惡意軟件。

  圖 1.HTML 走私概述

  這種技術(shù)具有很強(qiáng)的規(guī)避性,因為它可以繞過標(biāo)準(zhǔn)的外圍安全控制,如Web代理和電子郵件網(wǎng)關(guān),這些控制通常只檢查可疑的附件(例如EXE、ZIP或DOCX)或基于簽名和模式的流量。由于惡意文件是在終端通過瀏覽器加載HTML文件后才創(chuàng)建的,因此一些保護(hù)解決方案在開始時只看到的是正常的HTML和JavaScript流量,這些流量也可以被混淆以進(jìn)一步隱藏其真實目的。

  使用HTML走私的威脅者利用HTML和JavaScript在日常業(yè)務(wù)運(yùn)營中的合法用途來保持隱蔽性和相關(guān)性,以及對組織常規(guī)緩解程序的挑戰(zhàn)。例如,禁用JavaScript可以緩解使用JavaScript Blobs創(chuàng)建的HTML 走私。但是,JavaScript被用來渲染業(yè)務(wù)相關(guān)和其他合法的網(wǎng)頁。此外,還有多種方式可以實現(xiàn)HTML走私,比如通過混淆和多種JavaScript編碼方式,這些技術(shù)在內(nèi)容檢查中具有高度的規(guī)避性。因此,企業(yè)需要一個真正的 “縱深防御”戰(zhàn)略(Defense-in-Depth)和一個多層次的安全解決方案,以檢查電子郵件傳遞、網(wǎng)絡(luò)活動、端點行為和后續(xù)攻擊者活動。

  在電子郵件活動中大量使用HTML走私是攻擊者通過集成高度規(guī)避技術(shù)不斷完善其攻擊的特定組件的另一個例子。Microsoft Defender for Office 365使用動態(tài)保護(hù)技術(shù)(包括機(jī)器學(xué)習(xí)和沙箱)檢測和阻止HTML走私鏈接和附件,從一開始就阻止此類攻擊。來自O(shè)ffice 365 Defender的電子郵件威脅信號也被傳入Microsoft 365 Defender,后者對每個域(電子郵件和數(shù)據(jù)、端點、身份和云應(yīng)用程序)提供高級保護(hù),并將這些域的威脅數(shù)據(jù)與規(guī)避的復(fù)雜威脅關(guān)聯(lián)起來。這為企業(yè)提供了針對端到端攻擊鏈的全面、協(xié)調(diào)的防御。

  這篇文章詳細(xì)介紹了HTML走私的工作原理,提供了最近使用它的威脅者和目標(biāo)攻擊活動的例子,并分享了緩解措施和相關(guān)保護(hù)指南。

  HTML走私的工作原理

  HTML走私利用瀏覽器支持的HTML5和JavaScript的合法功能,在防火墻之后生成惡意文件。具體而言,HTML走私利用了HTML5的“download”屬性作為定位標(biāo)記,以及創(chuàng)建和使用JavaScript Blob來將下載到受影響設(shè)備中的Payload組合在一起。

  在HTML5中,當(dāng)用戶點擊一個鏈接時,“ download ”屬性讓HTML文件自動下載 “href ”標(biāo)簽中引用的文件。例如,下面的代碼指示瀏覽器從其位置下載 “malicious.docx”,并將其作為“safe.docx ”保存到設(shè)備中:

  下載文件的代碼截圖

  錨標(biāo)簽和文件的 “ download ”屬性在JavaScript代碼中也有對應(yīng)的內(nèi)容,如下圖所示。

  JavaScript中download屬性的代碼截圖

  JavaScriptBlob的使用增加了該技術(shù)的 “走私 ”方面。JavaScriptBlob存儲文件的編碼數(shù)據(jù),然后在傳遞給期望獲得URL的JavaScriptAPI時對其進(jìn)行解碼。這意味著無需提供用戶必須手動單擊才能下載的實際文件的鏈接,可以使用如下所示的JavaScript 代碼在設(shè)備上本地自動下載和構(gòu)建所述文件:

  自動下載的代碼截圖

  目前使用HTML走私的攻擊方式主要有兩種:指向 HTML 走私頁面的鏈接包含在電子郵件中,或者頁面本身作為附件包含。下面的部分提供了我們最近發(fā)現(xiàn)的使用這兩種方法之一的實際威脅示例。

  使用HTML走私的威脅示例

  HTML走私已被用于銀行惡意軟件活動,特別是歸因于DEV-0238(也稱為Mekotio)和DEV-0253(也稱為Ousaban)的攻擊,目標(biāo)是巴西、墨西哥、西班牙、秘魯和葡萄牙。在我們觀察到的一個Mekotio活動中,攻擊者發(fā)送帶有惡意鏈接的電子郵件,如下圖所示:

  圖2. Mekotio活動中使用的電子郵件樣本。單擊該鏈接將啟動 HTML 走私技術(shù)。

  圖 3.Mekotio 活動中觀察到的威脅行為

  在這個活動中,惡意網(wǎng)站hxxp://poocardy[.]net/diretorio/用于實施 HTML走私技術(shù)并投放惡意下載器文件。下圖顯示了在瀏覽器上呈現(xiàn)的 HTML 走私頁面:

  圖4.Mekotio活動的HTML走私頁面。注意“href ”標(biāo)簽是如何引用八位字節(jié)/流類型的JavaScript Blob來下載惡意的ZIP文件。

  需要注意的是,這種攻擊嘗試依賴社會工程和用戶交互來取得成功。當(dāng)用戶點擊電子郵件中的超鏈接時,HTML 頁面會放置一個嵌入了混淆 JavaScript 文件的 ZIP 文件。

  圖 5. 帶有混淆 JavaScript 文件的 ZIP 文件

  當(dāng)用戶打開ZIP文件并執(zhí)行JavaScript時,該腳本會連接到hxxps://malparque[.]org/rest/restfuch[.]png并下載另一個偽裝成PNG文件的ZIP文件。第二個ZIP文件包含與DAEMON Tools有關(guān)的以下文件:

  sptdintf.dll:這是一個合法文件。各種虛擬磁盤應(yīng)用程序,包括DAEMON Tools 和Alcohol 120%,都使用這個動態(tài)鏈接庫(DLL)文件。

  imgengine.dll:這是一個惡意文件,它被Themida包裝或經(jīng)過 VMProtected 進(jìn)行混淆處理。它可以訪問目標(biāo)的地理位置信息,并試圖竊取憑證和鍵盤記錄。

  一個具有隨機(jī)名稱的可執(zhí)行文件,它是重命名的合法文件 “Disc Soft Bus Service Pro”。這個合法文件是DAEMON Tools Pro的一部分,并加載這兩個DLL。

  最后,一旦用戶運(yùn)行主要可執(zhí)行文件(重命名的合法文件),它就會通過DLL旁加載啟動并加載惡意的DLL。如前所述,這個DLL文件歸屬于Mekotio,這是一種通常部署在Windows系統(tǒng)上的銀行木馬惡意軟件家族,自2016年下半年以來一直針對拉丁美洲的行業(yè)。

  針對性攻擊中的HTML走私

  除了銀行惡意軟件活動之外,各種網(wǎng)絡(luò)攻擊(包括更復(fù)雜、更有針對性的攻擊)都將 HTML 走私納入其武器庫。這種采用表明了戰(zhàn)術(shù)、技術(shù)和程序(TTP)是如何從網(wǎng)絡(luò)犯罪團(tuán)伙滲透到惡意威脅行為者的,反之亦然。它還強(qiáng)化了地下經(jīng)濟(jì)的現(xiàn)狀,在那里,這種TTP在被認(rèn)為是有效的時候會被商品化。

  例如,5月份,微軟威脅情報中心(MSTIC)發(fā)布了一份關(guān)于NOBELIUM的復(fù)雜電子郵件攻擊的詳細(xì)分析。MSTIC指出,該活動中使用的魚叉式網(wǎng)絡(luò)釣魚電子郵件包含一個HTML文件附件,當(dāng)目標(biāo)用戶打開時,它使用HTML走私在設(shè)備上下載主要Payload。

  從那以后,其他惡意行為者似乎開始效仿NOBELIUM,在他們自己的活動中采用了這種技術(shù)。在7月和8月之間,開源情報(OSINT)社區(qū)顯示,在傳遞AsyncRAT/NJRAT等遠(yuǎn)程訪問木馬(RAT)的活動中,HTML走私的情況有所上升。

  9月,我們發(fā)現(xiàn)一個利用HTML走私來傳遞Trickbot的電子郵件活動。微軟將這個Trickbot活動歸于一個新興的、有經(jīng)濟(jì)動機(jī)的網(wǎng)絡(luò)犯罪組織,我們將其追蹤為DEV-0193。

  在上述活動中,攻擊者發(fā)送一個特制的 HTML 頁面作為電子郵件的附件,聲稱是一份商業(yè)報告。

  圖 6. Trickbot 魚叉式網(wǎng)絡(luò)釣魚活動中附加的 HTML 走私頁面

  當(dāng)目標(biāo)收件人在web瀏覽器中打開HTML附件時,它將構(gòu)造一個JavaScript文件,并將所述文件保存在設(shè)備的默認(rèn)下載文件夾中。作為針對端點安全控制的附加檢測規(guī)避技術(shù),創(chuàng)建的JavaScript文件受密碼保護(hù)。因此,用戶必須輸入原始HTML附件中指示的密碼才能打開它。

  圖7. HTML附件在瀏覽器中構(gòu)建受密碼保護(hù)的下載器JavaScript

  一旦用戶執(zhí)行了JavaScript,就會啟動Base64編碼的PowerShell命令,然后回調(diào)到攻擊者的服務(wù)器以下載Trickbot。

  圖 8.Trickbot 魚叉式網(wǎng)絡(luò)釣魚活動中的 HTML 走私攻擊

  根據(jù)我們的調(diào)查,DEV-0193主要針對健康和教育行業(yè)的組織,并與勒索軟件運(yùn)營商密切合作,例如臭名昭著的Ryuk勒索軟件背后的運(yùn)營商。在入侵組織之后,該組織將成為后續(xù)勒索軟件攻擊的基本支點和推動者。他們還經(jīng)常向上述運(yùn)營商出售未經(jīng)授權(quán)的訪問權(quán)限。因此,一旦組織的網(wǎng)絡(luò)和系統(tǒng)環(huán)境被破壞,很可能會發(fā)生勒索軟件攻擊。

  防御使用HTML走私的各種威脅

  HTML走私對傳統(tǒng)安全解決方案帶來了挑戰(zhàn)。有效防御這種隱蔽的技術(shù)需要真正的縱深防御。在攻擊鏈的早期(電子郵件網(wǎng)關(guān)和web過濾層面)阻止攻擊是最好的。如果威脅者設(shè)法突破外圍安全漏洞并將威脅傳遞到主機(jī)上,則端點保護(hù)控制應(yīng)該能夠阻止執(zhí)行。

  Microsoft 365 Defender使用多層動態(tài)保護(hù)技術(shù),包括基于機(jī)器學(xué)習(xí)的保護(hù),以抵御惡意軟件威脅和其他在不同層面上利用HTML走私的攻擊。它將來自電子郵件、端點、身份和云應(yīng)用程序的威脅數(shù)據(jù)聯(lián)系起來,提供深入和協(xié)調(diào)的威脅防御。并且這些都得到威脅專家的支持,他們不斷監(jiān)控威脅狀況,以尋找新的攻擊者及其使用的工具和技術(shù)。

  適用于Office 365的Microsoft Defender檢查電子郵件中的附件和鏈接,以檢測和警告HTML走私企圖。在過去六個月中,微軟阻止了數(shù)以千計的HTML走私鏈接和附件。下面的時間線圖顯示了6月和7月的HTML走私企圖的高峰期。

  圖 9. 檢測到并阻止的 HTML 走私鏈接

  圖 10. 檢測到并阻止的 HTML 走私附件

  安全鏈接和安全附件通過利用虛擬環(huán)境在電子郵件中的鏈接和附件發(fā)送給收件人之前對其進(jìn)行檢查,從而提供針對 HTML 走私和其他電子郵件威脅的實時保護(hù)。在電子郵件中檢測和分析數(shù)以千計的可疑行為屬性,以確定網(wǎng)絡(luò)釣魚的企圖。例如,檢查以下內(nèi)容的行為規(guī)則已被證明能成功地檢測出惡意軟件走私的HTML附件:

  附加的ZIP文件包含JavaScript;

  附件受密碼保護(hù);

  HTML文件包含一個可疑的腳本代碼;

  HTML文件解碼Base64代碼或混淆JavaScript。

  通過自動化和威脅專家的分析,現(xiàn)有的規(guī)則被修改,并且每天增加新的規(guī)則。在端點上,減少攻擊面能夠阻止或?qū)徲嬇cHTML走私有關(guān)的活動。以下規(guī)則可以提供幫助:

  阻止JavaScript或VBScript啟動下載的可執(zhí)行內(nèi)容;

  阻止?jié)撛诨煜_本的執(zhí)行;

  阻止可執(zhí)行文件的運(yùn)行,除非它們符合普遍性、年齡或受信任列表標(biāo)準(zhǔn)。

  端點保護(hù)平臺(EPP)和端點檢測和響應(yīng)(EDR)功能可在執(zhí)行前后檢測惡意文件、惡意行為和其他相關(guān)事件。同時,高級狩獵(Advanced hunting)讓防御者可以創(chuàng)建自定義檢測來主動發(fā)現(xiàn)相關(guān)威脅。防御者還可以應(yīng)用以下緩解措施來減少利用HTML走私的威脅的影響:

  通過更改。js和。jse文件的文件關(guān)聯(lián)來防止JavaScript代碼自動執(zhí)行。

  在組策略管理控制臺的 “用戶配置”>“首選項”>“控制面板設(shè)置”>“文件夾選項 ”下創(chuàng)建新的打開方式參數(shù)。

  為。jse和。js文件擴(kuò)展名創(chuàng)建參數(shù),將它們與notepad.exe或其他文本編輯器關(guān)聯(lián)。

  檢查Office365的電子郵件過濾設(shè)置,確保它們能阻止欺騙性的電子郵件、垃圾郵件和帶有惡意軟件的電子郵件。使用MicrosoftDefender for Office 365以增強(qiáng)網(wǎng)絡(luò)釣魚保護(hù),抵御新威脅和多態(tài)變體。配置Office365,以便在單擊時重新檢查鏈接,并根據(jù)新獲得的威脅情報,消除已經(jīng)發(fā)送的惡意信息。

  檢查外圍防火墻和代理,以限制服務(wù)器與互聯(lián)網(wǎng)進(jìn)行任意連接來瀏覽或下載文件。這種限制有助于抑制惡意軟件的下載和命令與控制(C2)活動。

  用戶可以使用Microsoft Edge和其他支持Microsoft Defender SmartScreen的web瀏覽器,該瀏覽器可識別和阻止惡意網(wǎng)站。開啟網(wǎng)絡(luò)保護(hù),阻止與惡意域名和IP地址的連接。

  在Microsoft Defender防病毒軟件上打開云端提供的保護(hù)和自動提交樣本。這些功能使用人工智能和機(jī)器學(xué)習(xí)來快速識別和阻止新的和未知的威脅。

  對用戶進(jìn)行預(yù)防惡意軟件感染的安全意識教育。鼓勵用戶實行良好的憑證方式,限制使用具有本地或域管理員權(quán)限的賬戶,并打開Microsoft Defender防火墻以防止惡意軟件感染和傳遞。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。