- 虽然看到晚了,但这个攻击形式很别致,未来可能会再次出现。于是记录一下
一些最常见的网络威胁都具有社交工程学组成部分。也许 “最受欢迎” 的是通过恶意广告或被黑客入侵的网站推送欺诈性更新而引起的。
上图中这本书在这里下载:https://t.me/iyouport/6851
malwarebytes 最近发现了一个网站妥协案例,该方案以前从未见过。这是使用社交工程工具包进行的攻击的一部分,受感染的网站在过去几周内吸引了100,000多次访问。
从受感染的网站(其中大多数运行 WordPress)作为 iframe 加载并在顶部显示为附加层,它诱使受害者安装所谓的更新,如果更新,就会下载 NetSupport 远程控制工具。
本文将描述其战术、技术和程序(TTP),其中部分细节与过去和现在的一些社交工程攻击活动有关。
伪造的 Flash Player 更新
这个画面看起来像我们之前遇到的许多其他社交工程工具包模板一样。在这里,用户被欺骗以下载和运行 Flash Player 更新:
请注意,域名 wheellist [.] net 属于已被黑客入侵的合法网站,其中 chrom-update [.] online 的 iframe 放置在普通页面上方的一层:
点击 UPDATE 或 LATER 按钮可下载名为 “download.hta” 的文件,该文件已在 Atlassian 的 Bitbucket 平台上建立索引,并托管在 Amazon 服务器(bbuseruploads.s3.amazonaws.com)上:
执行后,该 HTA 脚本将运行 PowerShell,并连接到 xyxyxyxyxy [.] xyz,以检索恶意软件有效载荷。
该有效载荷是一个包含 NetSupport RAT 的软件包:
关联到 “FakeUpdates” 又名 SocGholish
在2018年末,malwarebytes 记录了一个恶意重定向攻击,将其称为 FakeUpdates,它基于 EmergingThreats 的规则集也称为 SocGholish。
它利用受损的网站并在交付有效载荷(NetSupport RAT)之前执行一些我们所见过的最具创意的指纹检查。
最近有一条推文,通过受感染的网站 fistfuloftalent [.] com 报告 SocGholish,尽管链接的沙箱报告显示的是 malwarebytes 之前描述过的模板,但与 SocGholish 不同:
沙箱标记 SocGholish 的原因是,受感染的站点包含与之相关的工件,并且在某些情况下确实重定向到该站点:
这个被黑的网站实际上托管了两个不同的攻击活动,并且基于某些浏览器和网络指纹,你可以遭遇其中一个或另一个攻击。
可以通过在两个不同的 JavaScript 部分中查看注入的代码来确认这一点,第一个由 EmergingThreats 规则集标记。
尽管 SocGholish 和新攻击的模板不同,但是它们两者都:
- 可以在相同的受感染主机上找到
- 滥用云托管平台(Bitbucket,Dropbox)
- 将虚假更新下载为 “download.hta”
- 交付 NetSupport RAT
旁注:公开保存的 VirusTotal 图(此处保存的屏幕截图)显示,威胁执行者在某些时候还使用了 DropBox 来托管 netSupport RAT。他们对文件进行了两次压缩,首先压缩为 zip,然后压缩为 rar。
与 SocGholish 的相似之处可能仅仅是由于威胁参与者从之前所做的事中得到了启发。但是,两个模板都传递相同的RAT的事实值得一提。
与恶意软件 EITest 相关
大约在审查此新的重定向链的同时,malwarebytes 看到了@tkanalyst 标记为 FontPack 的另一条链,这让人想起了 Proofpoint 在2017年初报告的 HoeflerText 社交工程工具包。
回到之前收集的流量捕获,malwarebytes 注意到包含 JavaScript 模板(template.js)和面板(.xyz 域)的相同基础结构:
仔细查看 template.js 文件,确认它们实际上是相同的,只是不同的有效载荷 URL 和一些唯一的标识:
Domen 社交工程工具包
template.js 文件是一件精美的工作,它超出了假字体或 Flash Player 主题的范围。当最初在 FontPack 标签下检测到此重定向代码段时,决定基于代码中找到的字符串将此社交工程框架称为 Domen。
单个 JavaScript 文件根据浏览器、操作系统和语言环境控制各种模板。例如,同一条伪造的报错消息被翻译成30种不同的语言。
一个称为 “banner” 的特定变量设置了社交工程主题的类型:var banner = ‘2’; // 1 — Browser Update | 2 — Font | 3 — Flash
malwarebytes 已经记录了一个 Flash Player,同时还观察到了 Font(HoeflexText 模仿者)及其一些变体(Chrome、Firefox)。这是第三个,是浏览器更新。
浏览器更新
还有一个用于移动设备的模板(该模板又被翻译成30种语言),指示用户如何下载和运行(可能是恶意的)APK:
范围和统计
该攻击的范围尚不清楚,但在去年9月左右一直相当活跃。每次用户访问已注入 Domen 工具包的受感染站点时,都会与位于 asasasqwqq [.] xyz 上的远程服务器进行通信:
该页面将创建一个GET请求,该请求返回一个数字:
如果相信这些数字(随后的访问将其增加1),则表示该特定攻击在过去几周内获得了100,000多次成功。
随着时间的流逝,已经看到了许多不同的社交工程攻击形式。在大多数情况下,它们是根据用户的地理位置和浏览器/操作系统类型动态提供的。
例如,这在技术支持诈骗页面(browlocks)中很常见,在该页面中服务器将为每个受害者返回适当的模板。
Domen 工具包之所以与众不同,是因为它提供了相同的指纹(浏览器、语言)和模板选择,这要归功于客户端(template.js)脚本,每个威胁参与者都可以对其进行调整。
此外,定制的广泛性令人印象深刻,因为它涵盖了大约30种不同语言的一系列浏览器、台式机和移动设备。
防御方法
借助反漏洞保护功能,Malwarebytes 用户已经受到保护,可以阻止 .hta 攻击,甚至无法检索其有效载荷。
Domen social engineering kit host
chrom-update[.]online
Malicious .HTA
bitbucket[.]org/execuseme1/1312/downloads/download.hta
NetSupport loader
xyxyxyxyxy[.]xyz/wwwwqwe/11223344.exe
mnmnmnmnmnmn[.]club/qweeewwqe/112233.exe
Panels
asasasqwqq[.]xyz
sygicstyle[.]xyz
drumbaseuk[.]com
NetSupport RAT
9c69a1d81133bc9d87f28856245fbd95bd0853a3cfd92dc3ed485b395e5f1ba0
58585d7b8d0563611664dccf79564ec1028af6abb8867526acaca714e1f8757d
b832dc81727832893d286decf50571cc740e8aead34badfdf1b05183d2127957
New social engineering toolkit draws inspiration from previous web campaigns