情报背景
cynet的研究人员收集到有新的攻击者使用托管在合法存储的ISO文件来对目标发起鱼叉式钓鱼攻击。为了使受害者最大程度地放松警惕,攻击者将ISO内的LNK文件伪装成文件夹的形式。
组织名称 |
BumbleBee |
关联组织 |
未知 |
战术标签 |
网络钓鱼 |
技术标签 |
VBS Rundll32 LNK WMI ISO |
情报来源 |
https://www.cynet.com/orion-threat-alert-flight-of-the-bumblebee/ |
01 攻击技术分析
整体攻击流程:
1. 包含URL的鱼叉式邮件
2. 诱导用户访问URL下载存储在合法存储服务网络上的ZIP文件
3. 用户打开并解压该ZIP文件,并挂载ISO
4. 用户尝试打开伪装成文件夹的LNK文件,查看文件
5. LNK文件执行隐藏的恶意DLL
2.1 伪装成文件夹的恶意LNK
攻击者为了最大程度地迷惑受害者,选择将LNK伪装成文件夹。效果如下,settings.dll为设置的隐藏文件,配合LNK发起攻击,该文件默认不会显示。
具有隐藏属性的settings.dll恶意文件。
伪装的LNK文件属性内包含以下命令:
C:WindowsSystem32rundll32.exe settings.dll,IternalJob
通过rundll32加载同目录下隐藏的恶意DLL。
2.2 再次运行VBS启动自身
在完成初始阶段rundll32对恶意DLL的加载运行后,首先会释放新的恶意DLL和一个VBS脚本文件到%programdata%/{RandomDir} 目录,该恶意DLL同样可以被rundll32加载。
cynet的报告显示攻击者多次活动中分别通过wmi和计划任务运行该vbs脚本,这可能是攻击者尝试在第二阶段绕过父进程检测的手段。
如图:settings.dll运行后会释放vbs文件并调用wmi创建wscript.exe加载运行vbs文件。
settings.dll的反汇编结果显示其vbs中通过了Wscript.Shell接口又一次启动了同样释放在%programdata%/{RandomDir} 目录下的恶意DLL文件。
在cynet的报告没有更多内容透露的情况下,攻击者可能尝试以这种方式再次启动自身,实现对父进程关系检测的绕过。
02 总结
利用ISO这种容器文件进行投递,可规避针对外来文件的WEB标记,绕过针对外源文件的安全限制。针对目标人员在识别钓鱼文档的局限,利用lnk伪装文件夹结合隐藏DLL的方式来发起钓鱼攻击,在研判中也较为少见,对普通的受害者迷惑性很强,很容易让人放松警惕双击打开。rundll32.exe作为常用的系统程序,安全软件也无法完全禁止其运行,还是存在被攻击者恶意利用的机会。
绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。
研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。
M01N Team
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队
往期推荐
原文始发于微信公众号(M01N Team):攻击技术研判|发现新招!攻击者投递伪装成文件夹的恶意LNK