《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > Microsoft:HTML走私攻擊分析

Microsoft:HTML走私攻擊分析

2021-11-19
來源:維他命安全
關(guān)鍵詞: html 走私攻擊

  摘要

  HTML走私是一種高度規(guī)避的惡意軟件交付技術(shù),,它利用合法的HTML5和JavaScript功能,越來越多地用于部署銀行惡意軟件,、遠程訪問木馬(RAT)和其它與目標攻擊有關(guān)的Payload的電子郵件攻擊活動。值得注意的是,,這種技術(shù)在5月份NOBELIUM的魚叉式網(wǎng)絡(luò)釣魚活動中被觀察到。最近,,我們還發(fā)現(xiàn)這種技術(shù)傳遞了銀行木馬Mekotio,,以及AsyncRAT/NJRAT和Trickbot,這些惡意軟件被攻擊者用來控制目標設(shè)備并傳遞勒索軟件Payload和其它威脅,。

  顧名思義,,HTML走私讓攻擊者在專門制作的HTML附件或網(wǎng)頁中 “走私”編碼的惡意腳本。當(dāng)目標用戶在他們的web瀏覽器中打開HTML時,,瀏覽器會對惡意腳本進行解碼,,進而在主機設(shè)備上組裝Payload。因此,,攻擊者不是讓惡意的可執(zhí)行文件直接通過網(wǎng)絡(luò),,而是在防火墻后面的本地建立惡意軟件。

  圖 1.HTML 走私概述

  這種技術(shù)具有很強的規(guī)避性,,因為它可以繞過標準的外圍安全控制,,如Web代理和電子郵件網(wǎng)關(guān),這些控制通常只檢查可疑的附件(例如EXE,、ZIP或DOCX)或基于簽名和模式的流量,。由于惡意文件是在終端通過瀏覽器加載HTML文件后才創(chuàng)建的,因此一些保護解決方案在開始時只看到的是正常的HTML和JavaScript流量,,這些流量也可以被混淆以進一步隱藏其真實目的,。

  使用HTML走私的威脅者利用HTML和JavaScript在日常業(yè)務(wù)運營中的合法用途來保持隱蔽性和相關(guān)性,以及對組織常規(guī)緩解程序的挑戰(zhàn),。例如,,禁用JavaScript可以緩解使用JavaScript Blobs創(chuàng)建的HTML 走私。但是,,JavaScript被用來渲染業(yè)務(wù)相關(guān)和其他合法的網(wǎng)頁,。此外,還有多種方式可以實現(xiàn)HTML走私,,比如通過混淆和多種JavaScript編碼方式,,這些技術(shù)在內(nèi)容檢查中具有高度的規(guī)避性。因此,,企業(yè)需要一個真正的 “縱深防御”戰(zhàn)略(Defense-in-Depth)和一個多層次的安全解決方案,,以檢查電子郵件傳遞、網(wǎng)絡(luò)活動,、端點行為和后續(xù)攻擊者活動,。

  在電子郵件活動中大量使用HTML走私是攻擊者通過集成高度規(guī)避技術(shù)不斷完善其攻擊的特定組件的另一個例子。Microsoft Defender for Office 365使用動態(tài)保護技術(shù)(包括機器學(xué)習(xí)和沙箱)檢測和阻止HTML走私鏈接和附件,從一開始就阻止此類攻擊,。來自O(shè)ffice 365 Defender的電子郵件威脅信號也被傳入Microsoft 365 Defender,,后者對每個域(電子郵件和數(shù)據(jù)、端點,、身份和云應(yīng)用程序)提供高級保護,,并將這些域的威脅數(shù)據(jù)與規(guī)避的復(fù)雜威脅關(guān)聯(lián)起來。這為企業(yè)提供了針對端到端攻擊鏈的全面,、協(xié)調(diào)的防御,。

  這篇文章詳細介紹了HTML走私的工作原理,提供了最近使用它的威脅者和目標攻擊活動的例子,,并分享了緩解措施和相關(guān)保護指南。

  HTML走私的工作原理

  HTML走私利用瀏覽器支持的HTML5和JavaScript的合法功能,,在防火墻之后生成惡意文件,。具體而言,HTML走私利用了HTML5的“download”屬性作為定位標記,,以及創(chuàng)建和使用JavaScript Blob來將下載到受影響設(shè)備中的Payload組合在一起,。

  在HTML5中,當(dāng)用戶點擊一個鏈接時,,“ download ”屬性讓HTML文件自動下載 “href ”標簽中引用的文件,。例如,下面的代碼指示瀏覽器從其位置下載 “malicious.docx”,,并將其作為“safe.docx ”保存到設(shè)備中:

  下載文件的代碼截圖

  錨標簽和文件的 “ download ”屬性在JavaScript代碼中也有對應(yīng)的內(nèi)容,,如下圖所示。

  JavaScript中download屬性的代碼截圖

  JavaScriptBlob的使用增加了該技術(shù)的 “走私 ”方面,。JavaScriptBlob存儲文件的編碼數(shù)據(jù),,然后在傳遞給期望獲得URL的JavaScriptAPI時對其進行解碼。這意味著無需提供用戶必須手動單擊才能下載的實際文件的鏈接,,可以使用如下所示的JavaScript 代碼在設(shè)備上本地自動下載和構(gòu)建所述文件:

  自動下載的代碼截圖

  目前使用HTML走私的攻擊方式主要有兩種:指向 HTML 走私頁面的鏈接包含在電子郵件中,,或者頁面本身作為附件包含。下面的部分提供了我們最近發(fā)現(xiàn)的使用這兩種方法之一的實際威脅示例,。

  使用HTML走私的威脅示例

  HTML走私已被用于銀行惡意軟件活動,,特別是歸因于DEV-0238(也稱為Mekotio)和DEV-0253(也稱為Ousaban)的攻擊,目標是巴西,、墨西哥,、西班牙、秘魯和葡萄牙,。在我們觀察到的一個Mekotio活動中,,攻擊者發(fā)送帶有惡意鏈接的電子郵件,如下圖所示:

  圖2. Mekotio活動中使用的電子郵件樣本。單擊該鏈接將啟動 HTML 走私技術(shù),。

  圖 3.Mekotio 活動中觀察到的威脅行為

  在這個活動中,,惡意網(wǎng)站hxxp://poocardy[.]net/diretorio/用于實施 HTML走私技術(shù)并投放惡意下載器文件。下圖顯示了在瀏覽器上呈現(xiàn)的 HTML 走私頁面:

  圖4.Mekotio活動的HTML走私頁面,。注意“href ”標簽是如何引用八位字節(jié)/流類型的JavaScript Blob來下載惡意的ZIP文件,。

  需要注意的是,這種攻擊嘗試依賴社會工程和用戶交互來取得成功,。當(dāng)用戶點擊電子郵件中的超鏈接時,,HTML 頁面會放置一個嵌入了混淆 JavaScript 文件的 ZIP 文件。

  圖 5. 帶有混淆 JavaScript 文件的 ZIP 文件

  當(dāng)用戶打開ZIP文件并執(zhí)行JavaScript時,,該腳本會連接到hxxps://malparque[.]org/rest/restfuch[.]png并下載另一個偽裝成PNG文件的ZIP文件,。第二個ZIP文件包含與DAEMON Tools有關(guān)的以下文件:

  sptdintf.dll:這是一個合法文件。各種虛擬磁盤應(yīng)用程序,,包括DAEMON Tools 和Alcohol 120%,,都使用這個動態(tài)鏈接庫(DLL)文件。

  imgengine.dll:這是一個惡意文件,,它被Themida包裝或經(jīng)過 VMProtected 進行混淆處理,。它可以訪問目標的地理位置信息,并試圖竊取憑證和鍵盤記錄,。

  一個具有隨機名稱的可執(zhí)行文件,,它是重命名的合法文件 “Disc Soft Bus Service Pro”。這個合法文件是DAEMON Tools Pro的一部分,,并加載這兩個DLL,。

  最后,一旦用戶運行主要可執(zhí)行文件(重命名的合法文件),,它就會通過DLL旁加載啟動并加載惡意的DLL,。如前所述,這個DLL文件歸屬于Mekotio,,這是一種通常部署在Windows系統(tǒng)上的銀行木馬惡意軟件家族,,自2016年下半年以來一直針對拉丁美洲的行業(yè)。

  針對性攻擊中的HTML走私

  除了銀行惡意軟件活動之外,,各種網(wǎng)絡(luò)攻擊(包括更復(fù)雜,、更有針對性的攻擊)都將 HTML 走私納入其武器庫。這種采用表明了戰(zhàn)術(shù),、技術(shù)和程序(TTP)是如何從網(wǎng)絡(luò)犯罪團伙滲透到惡意威脅行為者的,,反之亦然。它還強化了地下經(jīng)濟的現(xiàn)狀,,在那里,,這種TTP在被認為是有效的時候會被商品化,。

  例如,5月份,,微軟威脅情報中心(MSTIC)發(fā)布了一份關(guān)于NOBELIUM的復(fù)雜電子郵件攻擊的詳細分析,。MSTIC指出,該活動中使用的魚叉式網(wǎng)絡(luò)釣魚電子郵件包含一個HTML文件附件,,當(dāng)目標用戶打開時,,它使用HTML走私在設(shè)備上下載主要Payload。

  從那以后,,其他惡意行為者似乎開始效仿NOBELIUM,,在他們自己的活動中采用了這種技術(shù)。在7月和8月之間,,開源情報(OSINT)社區(qū)顯示,,在傳遞AsyncRAT/NJRAT等遠程訪問木馬(RAT)的活動中,HTML走私的情況有所上升,。

  9月,,我們發(fā)現(xiàn)一個利用HTML走私來傳遞Trickbot的電子郵件活動。微軟將這個Trickbot活動歸于一個新興的,、有經(jīng)濟動機的網(wǎng)絡(luò)犯罪組織,我們將其追蹤為DEV-0193,。

  在上述活動中,,攻擊者發(fā)送一個特制的 HTML 頁面作為電子郵件的附件,聲稱是一份商業(yè)報告,。

  圖 6. Trickbot 魚叉式網(wǎng)絡(luò)釣魚活動中附加的 HTML 走私頁面

  當(dāng)目標收件人在web瀏覽器中打開HTML附件時,,它將構(gòu)造一個JavaScript文件,并將所述文件保存在設(shè)備的默認下載文件夾中,。作為針對端點安全控制的附加檢測規(guī)避技術(shù),,創(chuàng)建的JavaScript文件受密碼保護。因此,,用戶必須輸入原始HTML附件中指示的密碼才能打開它,。

  圖7. HTML附件在瀏覽器中構(gòu)建受密碼保護的下載器JavaScript

  一旦用戶執(zhí)行了JavaScript,就會啟動Base64編碼的PowerShell命令,,然后回調(diào)到攻擊者的服務(wù)器以下載Trickbot,。

  圖 8.Trickbot 魚叉式網(wǎng)絡(luò)釣魚活動中的 HTML 走私攻擊

  根據(jù)我們的調(diào)查,DEV-0193主要針對健康和教育行業(yè)的組織,,并與勒索軟件運營商密切合作,,例如臭名昭著的Ryuk勒索軟件背后的運營商。在入侵組織之后,,該組織將成為后續(xù)勒索軟件攻擊的基本支點和推動者,。他們還經(jīng)常向上述運營商出售未經(jīng)授權(quán)的訪問權(quán)限。因此,一旦組織的網(wǎng)絡(luò)和系統(tǒng)環(huán)境被破壞,,很可能會發(fā)生勒索軟件攻擊,。

  防御使用HTML走私的各種威脅

  HTML走私對傳統(tǒng)安全解決方案帶來了挑戰(zhàn)。有效防御這種隱蔽的技術(shù)需要真正的縱深防御,。在攻擊鏈的早期(電子郵件網(wǎng)關(guān)和web過濾層面)阻止攻擊是最好的,。如果威脅者設(shè)法突破外圍安全漏洞并將威脅傳遞到主機上,則端點保護控制應(yīng)該能夠阻止執(zhí)行,。

  Microsoft 365 Defender使用多層動態(tài)保護技術(shù),,包括基于機器學(xué)習(xí)的保護,以抵御惡意軟件威脅和其他在不同層面上利用HTML走私的攻擊,。它將來自電子郵件,、端點、身份和云應(yīng)用程序的威脅數(shù)據(jù)聯(lián)系起來,,提供深入和協(xié)調(diào)的威脅防御,。并且這些都得到威脅專家的支持,他們不斷監(jiān)控威脅狀況,,以尋找新的攻擊者及其使用的工具和技術(shù),。

  適用于Office 365的Microsoft Defender檢查電子郵件中的附件和鏈接,以檢測和警告HTML走私企圖,。在過去六個月中,,微軟阻止了數(shù)以千計的HTML走私鏈接和附件。下面的時間線圖顯示了6月和7月的HTML走私企圖的高峰期,。

  圖 9. 檢測到并阻止的 HTML 走私鏈接

  圖 10. 檢測到并阻止的 HTML 走私附件

  安全鏈接和安全附件通過利用虛擬環(huán)境在電子郵件中的鏈接和附件發(fā)送給收件人之前對其進行檢查,,從而提供針對 HTML 走私和其他電子郵件威脅的實時保護。在電子郵件中檢測和分析數(shù)以千計的可疑行為屬性,,以確定網(wǎng)絡(luò)釣魚的企圖,。例如,檢查以下內(nèi)容的行為規(guī)則已被證明能成功地檢測出惡意軟件走私的HTML附件:

  附加的ZIP文件包含JavaScript,;

  附件受密碼保護,;

  HTML文件包含一個可疑的腳本代碼;

  HTML文件解碼Base64代碼或混淆JavaScript,。

  通過自動化和威脅專家的分析,,現(xiàn)有的規(guī)則被修改,并且每天增加新的規(guī)則,。在端點上,,減少攻擊面能夠阻止或?qū)徲嬇cHTML走私有關(guān)的活動。以下規(guī)則可以提供幫助:

  阻止JavaScript或VBScript啟動下載的可執(zhí)行內(nèi)容,;

  阻止?jié)撛诨煜_本的執(zhí)行,;

  阻止可執(zhí)行文件的運行,,除非它們符合普遍性、年齡或受信任列表標準,。

  端點保護平臺(EPP)和端點檢測和響應(yīng)(EDR)功能可在執(zhí)行前后檢測惡意文件,、惡意行為和其他相關(guān)事件。同時,,高級狩獵(Advanced hunting)讓防御者可以創(chuàng)建自定義檢測來主動發(fā)現(xiàn)相關(guān)威脅,。防御者還可以應(yīng)用以下緩解措施來減少利用HTML走私的威脅的影響:

  通過更改。js和,。jse文件的文件關(guān)聯(lián)來防止JavaScript代碼自動執(zhí)行,。

  在組策略管理控制臺的 “用戶配置”>“首選項”>“控制面板設(shè)置”>“文件夾選項 ”下創(chuàng)建新的打開方式參數(shù)。

  為,。jse和,。js文件擴展名創(chuàng)建參數(shù),將它們與notepad.exe或其他文本編輯器關(guān)聯(lián),。

  檢查Office365的電子郵件過濾設(shè)置,,確保它們能阻止欺騙性的電子郵件、垃圾郵件和帶有惡意軟件的電子郵件,。使用MicrosoftDefender for Office 365以增強網(wǎng)絡(luò)釣魚保護,,抵御新威脅和多態(tài)變體。配置Office365,,以便在單擊時重新檢查鏈接,,并根據(jù)新獲得的威脅情報,消除已經(jīng)發(fā)送的惡意信息,。

  檢查外圍防火墻和代理,以限制服務(wù)器與互聯(lián)網(wǎng)進行任意連接來瀏覽或下載文件,。這種限制有助于抑制惡意軟件的下載和命令與控制(C2)活動,。

  用戶可以使用Microsoft Edge和其他支持Microsoft Defender SmartScreen的web瀏覽器,該瀏覽器可識別和阻止惡意網(wǎng)站,。開啟網(wǎng)絡(luò)保護,,阻止與惡意域名和IP地址的連接。

  在Microsoft Defender防病毒軟件上打開云端提供的保護和自動提交樣本,。這些功能使用人工智能和機器學(xué)習(xí)來快速識別和阻止新的和未知的威脅,。

  對用戶進行預(yù)防惡意軟件感染的安全意識教育。鼓勵用戶實行良好的憑證方式,,限制使用具有本地或域管理員權(quán)限的賬戶,,并打開Microsoft Defender防火墻以防止惡意軟件感染和傳遞。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。