红蓝对抗之钓鱼伪装攻击手段实例分析
前言
威胁情报中心已经陆续监测捕获了一些红蓝对抗行动相关的样本,猎影实验室对这些样本进行了分析和关联,并对之进行了一定的总结,本文就伪装和钓鱼在红蓝对抗中的应用展开叙述。
伪装和钓鱼在APT攻击中的应用
伪装和钓鱼是APT攻击常态化的手段。可以通过鱼叉、水坑等多种方式进行应用。在已知APT攻击中许多情形下都是通过鱼叉式钓鱼邮件完成的,当然还有其它钓鱼形式,这就不得不提及伪装的技法,目的就是为了让邮件或页面看上去像正常内容,降低目标的防范意识。
优质的钓鱼从头到脚都会进行包装,从发件人开始,攻击者或可提前收集目标的基本情况,根据背景、社群关系等可以将发件人仿制为与目标存在关联的人物或机构,从而被攻击者会降低警惕性,即使不是关联度很高的人物或机构,经过精心模仿,也容易被轻视。主题、内容和附件也会进行选择编排。
如APT32(海莲花)在COVID-19期间攻击活动的伪装文件,选择了相关的主题内容。
另外在通过钓鱼也能达到信息收集的效果,
如APT32(海莲花)曾使用不带附件的邮件,
观察邮件内容的相关代码,发现内容中存在一个加了目标邮箱地址的伪装为png的URL链接,
这可能是通过当攻击目标浏览这封邮件内容时,如果去请求这个远程链接的图片内容,那么攻击者就有机会成功记录目标IP,收集此类信息以服务于后续行动。
红蓝对抗中的伪装和钓鱼
捕捉的红蓝对抗攻击中也有多个案例。
伪装为WORD、EXCEL图标的诱饵文件投递
点击运行后得伪装文档内容与攻击目标高度相关。
伪装为某公司软件
实则为下载者。
伪装为解密器、压缩包
Flash钓鱼
伪装为Flash安装程序
这类样本为WINRAR自解压程序,执行能够安装正常Flash程序并运行恶意程序。
程序将正常的Flash和攻击程序捆绑在自解压程序中。
配合一个与flash名称相似的域名,再配合一个钓鱼页进行钓鱼。
观察主页内容还结合了XSS。
通过LNK加压缩包进行伪装
并且LNK到的恶意文件及文件夹属性被设置成了隐藏。
如何防御
安恒APT预警平台,安恒APT预警平台能够发现已知或未知的威胁,APT预警平台 的实时监控能力能够捕获并分析邮件附件投递文档或程序的威胁性,并能够对邮件投递,漏洞利用、安装植入、回连控制等各个阶段做强有力的监测。结合安恒威胁情报系统,可将国内外的威胁数据进行汇总,并分析整个攻击演进和联合预警。
安恒威胁情报中心,拥有专业威胁情报分析团队,分析安全威胁数据、跟踪APT事件,以及多源情报数据的分析,形成了高价值的威胁情况库。分析的情报包括恶意文件、僵尸网络、C2、扫描IP、黑产IP、挖矿等60余类情报数据等。通过提供威胁情报数据与服务,可为用户提升区域安全态势感知、未知威胁检测、威胁溯源分析、主动防御等场景的智能化程度;依托该核心数据能力,提供威胁情报数据,威胁情报检测等专业能力。