年初一場突發(fā)的疫情,將辦公族們的辦公場地從公司變?yōu)榧抑?,平日面對面的工作交流也都變成了線上溝通。在此期間,云辦公、云流程實(shí)力出圈,強(qiáng)大的遠(yuǎn)程協(xié)作體驗(yàn)受到了廣大用戶的極力追捧。然而“樹大招風(fēng)”,隨著云辦公的使用熱度日益高漲,黑客組織也皆聞風(fēng)而來,企圖從中大撈一把。
近期,360安全大腦就借助全網(wǎng)信息,感知到有著大量用戶的云辦公軟件明道云,官網(wǎng)下載鏈接慘遭劫持。當(dāng)用戶點(diǎn)擊官方網(wǎng)站的下載鏈接后,下載的卻是經(jīng)過偽裝的木馬安裝包。經(jīng)360安全大腦結(jié)合用戶被攻擊信息分析,初步判定這一貍貓換太子的把戲,源于明道云部分下載服務(wù)器失陷。
針對此次“藏毒“事件,360安全大腦第一時(shí)間通知明道云,目前,明道云官網(wǎng)和軟件已恢復(fù)安全,可正常下載使用。此外,360安全大腦已獨(dú)家攔截該木馬攻擊,廣大用戶也可盡快下載安裝360安全衛(wèi)士,保護(hù)個(gè)人數(shù)據(jù)及財(cái)產(chǎn)安全。
供應(yīng)鏈攻擊藏“毒”軟件源頭
利用信任輕松獲取大量用戶數(shù)據(jù)
隨著網(wǎng)絡(luò)安全防護(hù)技術(shù)的完善,黑客團(tuán)伙想利用傳統(tǒng)攻擊手段非法獲利,可謂愈發(fā)艱難。而針對供應(yīng)鏈發(fā)起的網(wǎng)絡(luò)攻擊,則通過利用用戶對于正版軟件供應(yīng)商的信任,讓成功率實(shí)現(xiàn)幾何式增長;另外,只要黑客成功攻陷一家軟件供應(yīng)商,就可以直接獲取大量用戶數(shù)據(jù),尤其當(dāng)這些用戶是以企業(yè)為單位時(shí),足以讓其“要不不開張,開張吃一年”。
經(jīng)在全網(wǎng)海量歷史數(shù)據(jù)中進(jìn)行溯源追查后,360安全大腦發(fā)現(xiàn)該黑客團(tuán)伙至少從2019年5月起就已經(jīng)開始作案,主要采取投放釣魚木馬和直接滲透攻擊,并竊取了某些公司的數(shù)字證書,導(dǎo)致后續(xù)散播的木馬程序具有了正規(guī)公司的數(shù)字簽名。
在360安全大腦捕獲到該例供應(yīng)鏈攻擊后,發(fā)現(xiàn)其木馬具有正常公司的數(shù)字簽名,乍一看還會誤認(rèn)為其“出身清白”。而事實(shí)是黑客團(tuán)伙重打包了明道云2.0.3版本的安裝包,并打上了簽名“西安星空互動軟件開發(fā)有限公司”。
接著雙擊運(yùn)行木馬安裝包,360安全大腦還發(fā)現(xiàn)安裝目錄多出一個(gè)同樣非明道云官方簽名的hid.dll模塊(如下圖所示),除此之外的明道云文件全部正常,排查后發(fā)現(xiàn)這是針對明道云主程序MingDaoClould.exe的DLL劫持。而簽名處無奈背鍋的“西安星空互動軟件開發(fā)有限公司” 所屬一家制作游戲加速器的公司,很可能是黑客團(tuán)伙盜用的數(shù)字證書,實(shí)與明道云毫無關(guān)系。
360安全大腦還對DLL文件進(jìn)行了分析,發(fā)現(xiàn)其功能主要是判斷用戶的.Net版本之后釋放一個(gè)BAT腳本文件(如下圖所示),這個(gè)腳本首先用C#編譯器編譯生成一個(gè)木馬下載器,然后將下載鏈接以參數(shù)的方式傳遞給下載去執(zhí)行,最后清理現(xiàn)場。
從木馬生成的批處理腳本可以看到它聯(lián)網(wǎng)獲取了一個(gè)名為logo.png的圖片,然而實(shí)際上這是一個(gè)可執(zhí)行程序。
該程序會聯(lián)網(wǎng)獲取一個(gè)尾部攜帶shellcode的圖片,然后查找桌面進(jìn)程(“explorer.exe”)并注入執(zhí)行shellcode,其具體功能就是建立一個(gè)連接到黑客團(tuán)伙的后門通道,等待接收控制指令。
新型攻擊手法層出不窮
云辦公安全或?qū)⒂瓉砩壧魬?zhàn)
本著對于木馬病毒的零容忍態(tài)度,360安全大腦不能坐視這種破壞正常軟件信任的事件發(fā)生。根據(jù)已有的信息在海量歷史數(shù)據(jù)中進(jìn)行溯源檢索顯示,該團(tuán)伙至少從2019年5月份起就已經(jīng)開始通過滲透、釣魚等手法接連作案。
2019年5月23日,某企業(yè)員工遭到釣魚攻擊,接收了名為“簡歷.exe”的文件后表現(xiàn)出受害者特征。
該釣魚文件的圖標(biāo)偽裝成系統(tǒng)文件夾的樣式,很容易迷惑普通用戶導(dǎo)致中招,實(shí)際上它是一個(gè)木馬下載器。(如下圖所示)
2019年9月7日,某用戶電腦遭到滲透攻擊,后續(xù)黑客團(tuán)伙手工投放木馬下載器“formdl.exe”進(jìn)行后續(xù)攻擊,該木馬會在內(nèi)存解密執(zhí)行聯(lián)網(wǎng)獲取的shellcode進(jìn)行后續(xù)攻擊。相關(guān)代碼大致如下圖所示。
在后續(xù)攻擊中還發(fā)現(xiàn)了具備正常簽名的木馬程序,這說明黑客團(tuán)伙不是第一次盜用他人公司的正版數(shù)字證書了,除了“西安星空互動軟件開發(fā)有限公司”還盜用“Xiamen Tongbu Networks Ltd.”來簽發(fā)惡意程序,損害數(shù)字簽名可信度。
2019年9月16日,某游戲行業(yè)人員遭到釣魚攻擊,收到了釣魚文件“201909.exe”,行為與上文“簡歷.exe”類似。
2019年12月16日,某金融行業(yè)人員的電腦上,木馬文件隨系統(tǒng)服務(wù)開機(jī)啟動。
2019年12月18日,某房地產(chǎn)相關(guān)人員,遭受釣魚攻擊。
2020年3月27日,明道云某客服的電腦中招。
2020年4月10日,明道云某用戶遭遇針對性釣魚攻擊,用戶啟動了釣魚文件之后,黑客會查找明道云的安裝目錄并釋放文件“version.dll”到其根目錄下。
文件“version.dll”會對明道云的主程序形成DLL劫持,每當(dāng)用戶啟動明道云的時(shí)候就會隨之加載執(zhí)行,它的具體功能是和前文的“hid.dll”一樣最終注入桌面留下后門。
2020年4月27-28日,明道云官網(wǎng)下載鏈接被劫持,多例用戶電腦被感染。
與明道云官方溝通后,360安全大腦認(rèn)為,2020年發(fā)生的這三起攻擊并沒有發(fā)現(xiàn)直接聯(lián)系。
從追蹤溯源得到的信息不難看出,這個(gè)黑客團(tuán)伙一開始并沒有什么具體的目標(biāo),受害者涉及各行各業(yè),各個(gè)受害者之間明顯都沒什么關(guān)系,但是此次針對明道云的攻擊持續(xù)了一個(gè)多月,與之前打一槍換一個(gè)地方的風(fēng)格相比發(fā)生了很大的變化。
對此,360安全大腦在整合后進(jìn)行了關(guān)聯(lián)與分析,發(fā)現(xiàn)這與明道云的獨(dú)特屬性關(guān)系密切。
1、高性能服務(wù)器能獲得“高回報(bào)“
明道云的服務(wù)對象主要是企業(yè)用戶,而企業(yè)的高性能服務(wù)器對于黑客團(tuán)伙來說一直都很有吸引力。
2、藏毒開發(fā)源頭實(shí)現(xiàn)火速蔓延
其次則是明道云的軟件特點(diǎn),明道云作為一個(gè)生產(chǎn)力工具,普通業(yè)務(wù)人員就能進(jìn)行開發(fā),門檻低,開發(fā)數(shù)量多,帶著病毒的新模塊快速形成二次擴(kuò)散攻擊。
基于以上兩點(diǎn),不難看出黑客團(tuán)伙認(rèn)為明道云完全值得他們花費(fèi)更多的時(shí)間和精力去攻擊并挖掘潛在價(jià)值。
由此可見,隨著各類云辦公軟件逐漸成為辦公族們的工作首選,隨之而來的網(wǎng)絡(luò)安全問題也將如同雨后春筍般,油然而生。但360安全大腦通過多種技術(shù)手段防御和發(fā)現(xiàn)最新木馬病毒,且已率先實(shí)現(xiàn)對該類木馬的查殺,為避免此類攻擊的感染態(tài)勢進(jìn)一步擴(kuò)大,360安全大腦建議:
1、及時(shí)前往weishi.#,下載安裝360安全衛(wèi)士,可有效攔截查殺各類木馬病毒;
2、對于安全軟件提示風(fēng)險(xiǎn)的程序,切勿輕易添加信任或退出殺軟運(yùn)行;
3、使用360軟件管家下載軟件,360軟件管家收錄萬款正版軟件,經(jīng)過360安全大腦白名單檢測,下載、安裝、升級,更安全。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )