前言
2023年3月28号 iOA云端告警,某客户(部署了腾讯零信任,简称iOA)有员工终端iOA触发钓鱼防护策略,我们马上与客户取得联系,了解到该公司正在进行网络安全演练,该名员工很可能正在受到钓鱼攻击,我们协助客户启动了应急响应,协助客户对该员工终端进行了排查。
分析过程
我们第一时间在受攻击的员工电脑上提取到了样本,查看员工电脑上的iOA安全终端日志,发现有钓鱼木马拦截拦截的记录。从日志中获得了外联的C2,我们对外联C2 进行了封禁。为了保险起见,对被钓鱼的员工终端进行了手工排查,通过详细排查,确认钓鱼木马运行时已被iOA拦截,并且结束了进程。现场仅有员工主动下载并运行的恶意程序,未发现其它异常行为。攻击者未能进一步获得终端的控制权限。
通过现场溯源还原出了整个入侵过程:
攻击者伪装成人力资源公司,通过求职平台搜索到了员工的基本信息,并建立了初步联系,然后添加了员工的微信,谎称有招聘需求。通过微信发送假冒的招聘信息压缩包文件,诱导员工打开,员工打开的实际是一个伪造成文档的远控木马。
该假冒的招聘信息压缩包,解压后可以看到一个快捷方式,伪装成了Word文档,快捷方式会链接到对应的CS木马,CS木马经过免杀处理
当用户被诱导点击了被伪装成文档的木马程序运行后,木马程序会进行一系列的获取本地信息,添加启动项操作,再通过外联C2 实现远程控制。
钓鱼攻击在攻防演练中的发展趋势
钓鱼攻击越来越受到攻击队的青睐。腾讯安全团队就近期参与的几次攻防演练,总结出一些攻防演练中常见的一些攻击特点,供大家参考。
● 钓鱼攻击在攻防演练中收益率最高
我们从腾讯攻击队(多次在大型演练中夺冠)中了解到,占比不多的钓鱼案例拿了近一半的得分,钓鱼攻击逐渐成为攻防演练中主流的攻击手法。而又因为钓鱼攻击成本低,收益率高,越来越受到攻击者的青睐。
● 钓鱼攻击主题会结合时事热点
从钓鱼的主题看,攻击者选取的钓鱼主题会结合时事热点,也会选取一些目标比较感兴趣的主题。从近期收集到的攻击主题来看,攻击者比较喜欢伪造成一些招聘信息,加薪信息相关的文件,诱导用户点击。
● 研发类或客服类员工可能更容易受到攻击
从被钓鱼的对象看,钓鱼攻击的对象比较喜欢研发类和客服类人员,推测攻击研发类人员可能一旦控制相关机器,可能能获得更高的内网权限,另外客服类人员则可能安全意识相对薄弱,更容易被攻破。
● IM通信工具成为钓鱼攻击新路径,社工特性更明显
钓鱼攻击路径从传统的通过发送钓鱼邮件,诱导用户点击恶意链接或下载恶意文件等方式,逐渐转向利用IM工具或企业内部通信工具进行诱导工具,社工特性更明显,令人防不胜防。
从近期曝光的一些真实攻击案例,可以了解到攻击者已经开始采用社工方式通过IM通信(企业微信、钉钉等)传播诱饵。如:记微信程序钓鱼事件分析 中就记录到一次针对证券行业的网络钓鱼攻击。其攻击过程主要是:
1. 通过各种社工方式添加员工企业微信,投递恶意样本
2. 诱导员工运行恶意样本,恶意样本运行后建立持久化驻留,并进行敏感信息窃取
3. 建立外联C2通信,实现远控,进一步获取敏感数据。
常见钓鱼攻击路径
上面的例子可总结出,一般的钓鱼攻击过程分为三个阶段
● 投递阶段:攻击者通过向目标的 IM 即时通讯软件或者邮箱发送链接或者文件,诱导用户点击或下载文件执行。此阶段的主要特点是,攻击者利用人性弱点,进行社工突防,令人防不胜防。
● 执行/内网横移阶段:当受害者运行了恶意程序后,恶意程序会在受害终端执行,建立持久化驻留,获取凭据,信息收集,横向移动等操作。此阶段的主要特点是,恶意程序为了能在系统中运行,通常都会经过免杀处理,从而逃避杀软的查杀。
● 命令和控制(外联C2):木马在受害终端运行后,为了获取终端敏感信息或建立进一步的恶意行为操作,木马会访问预先准备好的恶意地址,建立外联通信,从而实现远控。此阶段主要特点是,攻击者要实现窃取敏感数据等恶意操作,就需要外联。通常攻击者会采用一些隐匿加密通信技术进行外联通信。
腾讯零信任在防钓鱼中的优势
● 针对钓鱼攻击的三个阶段攻击特点,iOA钓鱼防护,分别从对钓鱼攻击的来源路径监测、钓鱼文件形态识别、程序联网零信任审计,实施关联和分析,可准确还原钓鱼入侵的路径和拦截钓鱼恶意程序的运行,实现对钓鱼攻击的看得见和防得住的效果。
● 来源路径监测
对投递阶段,iOA在每个终端都建立本地基线数据,对新入的文件实现来源分析和追踪。目前已实现覆盖钓鱼攻击常见利用路径,如邮件,IM工具等来源实行监测。未来将会和常用企业IM工具(企业微信等)合作,如对新加好友与落地文件进行关联分析,更精准识别和还原出钓鱼入侵的源头。
● 文件形态识别
在钓鱼攻击的第二阶段,恶意程序为了逃避杀软查杀,会采用多种手段躲避杀软,实现免杀。腾讯安全针钓鱼免杀样本的钓鱼样本检测引擎可准确识别出钓鱼样本。基于腾讯攻防经验,专项识别样本免杀技巧,和TAV+双云引擎形成互补。
● 联网零信任审计
根据钓鱼入侵的第三个阶段特点,我们知道,攻击者为了获取敏感数据,需要建立外联。针对联网行为,iOA建立了联网基线,联网基线与新入文件基线实行关联分析,对新入未知程序,可信程序(被注入)的联网实行零信任审计,彻底拦截少量免杀的漏网之鱼。
基于零信任访问和终端安全架构下,为企业业务安全赋能。无论访问人员在哪,使用何种终端,访问任何企业应用都无需使用VPN;通过终端可信评估、多因素可信认证、加密链路和动态鉴权访问控制,实现无边界的安全办公。
近期腾讯iOA SaaS全新版本上线腾讯云,欢迎了解产品,获取免费试用资格。
原文始发于微信公众号(安全攻防团队):一次攻防演练中钓鱼攻击事件的分析