记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

最近几种攻击方式介绍

2022-05-27 10:00
发表于

写在前面:共有三篇文档,都是最近关于攻击手法的说明。可以看到,在网络安全的最前线,也就是每个人日常上网、收发邮件、做各种业务的时候,网络攻击从来没有停止。有时候我想,这些黑客应该和我们一样,每天上班、下班,只不过他们是在研究攻击手法,应该也有自己专业方向、有KPI,有自己的成就感。


使用奇怪链接绕过垃圾邮件过滤器的网络钓鱼技

 


 


       一种新型的网络钓鱼技术,利用了浏览器和电子邮件收件箱读取网络域名方式的差异。

       研究人员发现了一种从未见过的将恶意链接塞进电子邮件收件箱的方法。

据Perception Point周一报道,这个聪明的技巧利用了电子邮件收件箱和浏览器读取URL的一个关键差异。

       攻击者在中间使用“@”符号制作了一个不寻常的链接。一般的电子邮件安全过滤器将其解释为一个评论,但浏览器将其解释为一个合法的网站域名。因此,钓鱼邮件成功地绕过了安全系统,但当受害者点击其中的链接时,他们仍然被定向到一个虚假的登录页面。

 

一次蹩脚的网络钓鱼尝试

       5月2日,Perception Point的事件响应(IR)团队发现了一封设计仓促的钓鱼邮件,试图伪装成微软的通知,“你有新的5条信息”。把收件人重定向到“personal portal”的超链接。

 

       链接指向伪装成Outlook登录页面的网站。黑客又一次选择了糟糕的设计,这个所谓的Outlook页面的域名实际上是“storageapi.fleek.co”。然后是一长串随机的字符。

 

       从理论上讲,如果用户忽略了所有这些危险信号,并提交了他们的Microsoft凭证,那么这些凭证就会落入攻击者手中。

       那么,问题来了:这样一个不费力气的网络钓鱼尝试是如何通过电子邮件安全过滤器的,而这些过滤器受过训练,能够识别比这更复杂的欺诈行为。

       关键就在邮件链接里。


关于链接的一些背景知识

       在这里暂停片刻,然后在浏览器中打开另一个网页。

       在你的地址栏输入“https://”,然后你想要的任何字符串字符。接下来,输入一个@符号,然后是任何网络域名。例如: 

       https : / / abc123@www.threatpost.com

       根据您使用的浏览器,@之前的文本要么返回错误消息,要么消失无踪。为什么?

       有些浏览器允许你自动向你想访问的网站发送认证信息。语法如下:

http (s): / /用户名密码:@服务器/资源.ext

       支持该特性的浏览器将把@符号前的字符串解释为登录凭证。不支持这样做的浏览器会简单地忽略字符串并执行@后面的内容。不管怎样,@后面的域名就是你要去的地方。

       2022年1月,微软从IE浏览器上删除了这一功能,因为黑客可以轻而易举地利用它将恶意网站伪装成合法网站。他们在网站上做了解释: https://docs.microsoft.com/en-us/troubleshoot/developer/browsers/security-privacy/name-and-password-not-supported-in-website-address

       例如,下面的URL看似打开http://www.wingtiptoys.com,但实际上打开的是http://example.com:

       http://www.wingtiptoys.com@example.com

       这就引出了今天的重点…...


黑客的小诡计

       上述故事中嵌入的钓鱼邮件的URL是:

       正如我们已经证实的,浏览器将把它作为URL读取。但电子邮件服务对中间@符号的解读截然不同。

       Perception Point负责客户成功和事件响应的副总裁Motti Elloul通过电子邮件告诉本刊:“众所周知,@符号在电子邮件文本中使用时,会被电子邮件安全系统忽略,而且有很多合法使用的例子。例如,它可以用于在消息正文中指的是用户信息。”由于这个原因,IR团队在他们的报告中写道,“大多数电子邮件检测平台无法识别这个地址为URL,而是将其视为评论。”

       @符号是一个伪装:对于电子邮件安全过滤器来说,它是一个评论,但下面是一个常规的恶意链接。


影响

        攻击黑客未知,但IP地址202.172.25.42,来自日本。埃罗尔说,他的目标“范围很广,包括电信、网络服务和金融机构。”在被发现之前,他们的邮件都没有骗过任何目标。

       尽管这次活动失败了,Elloul告诉本刊,“这项技术有可能迅速流行起来,因为它非常容易执行。”作为一个poc,它至少被证明是相当有效的。

       “为了识别这种技术,并避免它通过安全系统而产生的后果,安全团队需要更新他们的检测引擎,以便在包含@时再次检查URL结构。”


https://threatpost.com/novel-phishing-trick-uses-weird-links-to-bypass-spam-filters/179587/

(完)

 

在Microsoft Exchange服务器上放置漏洞后利用恶意软件框架

 

       CrowdStrike警告称,IceApple的多个独立模块包括数据窃取、证书获取、文件和目录删除模块。

 

       虽然IceApple被部署在Microsoft Exchange Server实例中,但它实际上能够在任何IIS Web应用程序下运行。


Microsoft .NET链接

       CrowdStrike是在检测称之为反射性.NET程序集加载恶意活动时发现IceApple的。MITRE将反射代码加载定义为一种攻击者用来隐藏恶意载荷的技术。它涉及在运行进程的内存中直接分配和执行有效载荷。根据MITRE的说法,反射加载的有效载荷可以包括已编译的二进制文件、匿名文件、或者只是一些无文件可执行文件。MITRE注意到,反射式代码加载类似于进程注入,只不过代码是加载到进程自己的内存中,而不是加载到另一个进程的内存中

       Singh说:“.NET程序集(.NET assembly)构成了微软.NET框架的基石,”程序集(assembly)既可以是EXE文件形式的独立应用程序,也可以是库,在其他应用程序中作为DLL使用。

       CrowdStrike在2021年末发现了IceApple,当时它正在开发一种检测机制,在客户的Exchange服务器上触发反射性.NET程序集加载。该公司对警报的调查显示,几个.NET程序集文件存在异常,这反过来导致在系统上发现了IceApple框架。


活跃网络攻击活动

       IceApple的模块化设计为对手提供了一种方法,可以将每个功能块构建到自己的.NET程序集中,然后仅在需要时反射性地加载每个功能。辛格说:“如果不被发现,这种技术可能会让Defender完全看不到这种攻击。例如,Defender会看到一个合法的应用程序(如Web服务器)连接到一个可疑的IP;然而,他们无法知道是什么代码触发了这种连接。”

       Singh表示CrowdStrike发现IceApple使用了一些独特的策略来躲避侦查。其中之一是在IIS中使用未记录的字段。另一种方法是通过使用看起来像普通IIS临时文件的程序集文件名来融入环境。Singh说:“经过仔细检查,文件名并不是随机生成的,正如预期的那样,程序集的加载方式也超出了Microsoft Exchange和IIS的正常加载方式”。

       Singh表示,IceApple框架的设计目的是通过多种方式来窃取数据。例如,其中一个模块(称为File Exfiltrator模块)允许从目标主机窃取单个文件。另一个模块称为多文件窃取,允许多个文件被加密、压缩和过滤。


Octopus Backdoor 回归,使用新的嵌入式混淆BAT文件


       上周,我发现了另一个有趣的Word文档,它向潜在的受害者发送了一个有趣的恶意脚本。通常,Office文档携带VBA宏,使用一点社会工程学(经典的黄丝带)激活,但这一次,文档不包含任何恶意代码:

     

       分析文件的第5部分,叫数据,打开文档后,发现

       

       里面包含pdf文件,但查看属性,是bat文件。

       打开文件后,文件被充分混淆

       解密后(文件很长,没有完全打开,都是命令行操作)


域名hpsj.firewall-gateway.net,在网上很有名,这是老旧的Octopus backdoor。我已经在2020年写了一篇日记!但它似乎带着一种简单而有效的混淆技巧回来了。


https://isc.sans.edu/forums/diary/Octopus+Backdoor+is+Back+with+a+New+Embedded+Obfuscated+Bat+File/28628/#comments

(完)


知识来源: mp.weixin.qq.com%2Fs%2FWgjmUSshqn5-58h7zJjPZA&id=b95c7bfaedcd3ff8429242e6f27a1bac

阅读:88721 | 评论:0 | 标签:攻击

想收藏或者和大家分享这篇好文章→复制链接地址

“最近几种攻击方式介绍”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁