攻击技术研判 | 钓鱼攻击技术的再升级
2022-12-19 18:26:15 Author: M01N Team(查看原文) 阅读量:18 收藏

情报背景

近期,Splunk 威胁研究团队对QakBot的攻击手法的演进进行了分析,在这之中不乏有各种技术的改进利用和创新。其中,QakBot在对钓鱼技术的改进更是细腻,本文将对文中的钓鱼技术改进进行剖析。

组织名称

QakBot

战术标签

初始访问 载荷投递

技术标签

html smuggling iso lnk

情报来源

https://www.splunk.com/en_us/blog/security/from-macros-to-no-macros-continuous-malware-improvements-by-qakbot.html

01 攻击技术分析

攻击过程如下图:

1.钓鱼网页中利用HTML smuggling将zip文件释放至目标主机

2.受害者点击恶意zip并输入密码,解压文件

3.解压后的文件中包含ISO文件,打开ISO后在受害者的视角中,只看到了一个伪造成文件夹的lnk文件,诱导受害者点击

4.受害者点击LNK文件后执行恶意脚本,攻击者实现上线,达到攻击目的

亮点1 HTML smuggling的双层嵌套进行防御规避

html smuggling自出现以来,备受钓鱼佬的青睐,各类安全产品也逐渐对此有所检测。而QakBot在攻击中采用了多个html钓鱼网站嵌套的方式,进行有效的防御规避。具体过程如下:

1.对使用了html smuggling技术的html2进行base64和字符反转实现混淆,嵌入在html1(受害者访问的钓鱼网页)中

图一 html1部分代码

2.嵌入方式采用的是html的 "embed" 标签,且setAttribute中参数设为1,即对该段代码的执行进行隐藏

3.执行html1中的reverse函数之后,将html2进行恢复并执行html smuggling实现下发zip恶意压缩包。html2具体代码如下:

图二 html2部分代码

以往攻击者使用html smuggling的方式大多只是如html2一样,即一个html中包含html smuggling,打开后便下发文件至受害者本地。而该方式的改进,让原本释放文件的html文件更加隐蔽,html smuggling的代码执行也从原本的静态可见演变为动态执行,具有良好的防御规避效果。

亮点2 lnk执行的改进

攻击者使用的lnk的构造如下:

1.使用cmd.exe 执行.bat脚本,bat脚本执行另一个cmd脚本protracted.cmd,且protracted.cmd使用参数进行执行,bat脚本具体内容如下:

C:\Windows\System32\cmd.exe /c tools\protracted.cmd re gs v

2. "re gs v" 作为参数传入 protracted.cmd脚本,拼接脚本,实现脚本执行

3.脚本执行功能主要有:

  • 将系统自带的regsvr32.exe复制为\appdata\local\temp\envelopingConcussion.com

  • 使用envelopingConcussion.com执行bucketfuls.dat程序

  • bucketfuls.dat是一个具有后门功能的dll,达到攻击目的

由此可见,与其他常见的lnk采取的方式不同的是,该bat脚本中执行cmd脚本程序时:

1.使用参数构造完整的cmd脚本,将敏感的程序名和路径的字符串,如"regsvr32.exe",通过脚本进行拼接,减少敏感字符串暴露,达到静态防御规避效果

2.脚本中再执行脚本,而不是直接执行程序,拉长攻击链,同样达到防御规避效果

02 总结

本文对QakBot在钓鱼中的技术的再改进进行了一定的分析,是值得参考的防御规避手法,可以借此举一反三,加强规避效果。同时,对于防守方而言,也是可参考的检测点。

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群

往期推荐

攻击技术研判|Roshtyak中使用的内存防御规避策略

攻击技术研判|利用.NET NativeAOT特性的新型攻击手法

攻击技术研判|一种在行末隐藏有效载荷的新供应链攻击技术


文章来源: http://mp.weixin.qq.com/s?__biz=MzkyMTI0NjA3OA==&mid=2247490335&idx=1&sn=c121efa85e964d8d5634e941dd494229&chksm=c187db0ef6f052185f9f7e31225bd267440662f3a42fbcc2579a7a69ead54448ff5084f572c1#rd
如有侵权请联系:admin#unsafe.sh