骇客在攻击行动里滥用合法云端服务的情况,因为能够借由这些服务的正常流量掩盖非法行为,使得资安系统可能不会触发警报,这样的手法已是经常出现,最近有资安业者表示,他们看到今年这样的态势出现显示增加的情况。
资安业者赛门铁克指出,由于攻击者希望避免引人注目并降低维护基础设施的成本,值得留意的是,虽然研究人员表示骇客很可能会滥用微软OneDrive或Google Drive,但在他们公布的6起恶意程式攻击里,有超过半数都利用OneDrive,甚至有搭配图学资料分析服务Microsoft Graph API、程式码储存库GitHub的情况。
在这些攻击行动里,我们认为名为Grager的后门程式最值得留意,原因是这起资安事故的攻击目标涵盖台湾。研究人员在今年4月,看到中国骇客组织UNC5330针对台湾、香港、越南的企业组织,部署这支后门程式。
骇客究竟如何寻找攻击目标,研究人员并未说明,但他们提及恶意档案来自冒牌的7-Zip网站,一旦使用者依照指示进行下载、安装MSI档,电脑就会在部署此压缩软体的过程,一并将恶意程式载入工具Tonerjam植入,并用来解密、执行后门程式Grager。
而这支后门程式启动时,会解密用户端ID(client_id)并根据储存体(Blob)更新存取OneDrive的凭证(Token),从而与骇客控制的OneDrive帐号连线。该后门程式能收集系统资讯,让攻击者能上传、下载,或是执行档案,并截取档案系统的相关资料,包括磁碟容量与类型资讯。
另一个锁定南亚媒体而来的后门程式GoGra,研究人员认为也相当值得留意,因为,骇客将微软的邮件服务充当C2伺服器。
究竟骇客如何对后门程式下达命令?研究人员指出,此后门程式会读取寄件人为FNU LNU的电子邮件,这些信件的主旨皆以Input开头,而后门程式使用特定金钥并透过密码区块连结(Cipher Block Chaining)模式的AES-256演算法,解密命令的内容,并透过cmd.exe执行。
当骇客交付的命令完成后,GoGra会将执行结果加密处理,并以Output为主旨的信件,回传给前述的使用者。
而对于攻击者的身分,研究人员指出是网路,从而混淆攻击来源。