2024年度「十大网站攻击技法」(Top 10 Web Hacking Techniques 2024)年初公布,本次有103件研究成果入选,较往年倍增,同时品质也更加精进。PortSwigger首席研究员James Kettle指出,这次是他历年见过最高品质的一批研究成果。
特别的是,这次第一、第四为台湾资安研究员的成果,分别是Apache HTTP Server的混淆攻击手法,以及Windows作业系统ANSI字元转换弱点WorstFit。
【攻击与威胁】
专门锁定台湾、越南、马来西亚等亚太国家发动攻击,被称做Mustang Panda、Earth Preta的中国骇客组织,自2022年至今已有200家企业组织受害,如今有资安业者提出警告,这些骇客更换手法相当值得留意。
资安业者趋势科技指出,他们最近观察到新一波的攻击行动里,Earth Preta一旦发现受害电脑执行ESET防毒软体,便将程式码注入Windows公用程式Microsoft Application Virtualization Injector(MAVInject.exe),使得有效酬载注入另一个用来与其他网路上的电脑传送及接受讯号的公用程式waitfor.exe。此外,这些骇客也滥用安装程式建置工具Setup Factory,投放并执行有效酬载。这么做的目的,主要是为了回避侦测,并且能持续在受害电脑活动。
罕见的是,研究人员特别提及这支恶意程式并非只针对部署ESET防毒的电脑而来。假若骇客发现受害电脑并非使用该厂牌的防毒软体,就会直接利用特定的API将程式码注入waitfor.exe。
骇客假借求职名义向企业组织发动网路钓鱼攻击的情况,有不少是为了筹措营运资金的北韩骇客所为,但近期有其他骇客这么做而引起关注。
资安业者eSentire今年1月发现被称做Earth Kapre、RedCurl的骇客组织攻击行动,这些骇客锁定律师事务所及法律服务行业而来,过程中利用Adobe应用程式元件ADNotificationManager.exe,以侧载的方式执行他们的恶意程式载入工具,并利用微软网路公用程式Active Directory Explorer这类工具从事侦察,然后以7-Zip打包窃得资料且设置密码保护,最终使用PowerShell发出请求,将资料透过云端储存服务供应商Tab Digital外流。
究竟这些骇客如何接触受害者?他们假借求职为诱饵寄送钓鱼邮件,信中挟带PDF档案,一旦收信人开启并点选其中的连结,电脑就会下载ZIP压缩档,其内容为IMG光碟映像档,若是收信人开启,就会在电脑里挂载。
网路钓鱼攻击的活动出现分工,骇客制作工具包吸引更多打手参与,最近两到三年更制作出能绕过多因素验证(MFA)的作案工具,但大部分锁定目标主要是Microsoft 365帐号,如今有骇客开发能对其他帐号下手的新工具,因而引起研究人员的注意。
资安业者SlashNext揭露今年一月底出现的网钓工具包Astaroth,卖家标榜此工具能挟持连线阶段(Session)及即时帐密拦截,从而绕过Gmail、Yahoo、M365等帐号的多因素验证机制。
乍听之下,Astaroth的主要功能,与其他能进行对手中间人(AiTM)的网钓工具包雷同,但Daniel Kelley指出做法有明显的差异,其中一项就是骇客的网钓网域具备SSL凭证,使得浏览器不会弹出警示讯息,受害者也难以察觉有异,但在此同时,Astaroth会将使用者发出的请求转送到真正的身分验证服务,并秘密拦截相关敏感资料。
其他攻击与威胁
其他漏洞与修补
本届总共有103件研究报告获得提名,比起往年数量呈现接近倍增的情形,不仅是数量大增,负责举办此计划的PortSwigger首席研究员James Kettle指出,这是他自2018年负责此专案以来,见过最高品质的一批研究成果。
这次台湾资安研究人员能够再次从中脱颖而出,获选为第1名与第4名,更是难得,而且,两项都与台湾资安公司戴夫寇尔(DEVCORE)首席资安研究员Orange Tsai(蔡政达)有关。