今年日本电脑紧急应变小组(JPCERT/CC)指出,他们针对今年2月、4月公布的恶意软体
对于骇客如何入侵受害组织,JPCERT/CC并未说明,但提到一旦成功,攻击者就会试图部署Cobalt Strike并执行。骇客先透过工作排程执行合法的执行档,以DLL侧载手法执行恶意程式载入工具MDifyLoader,载入加密的资料并解码,得到Cobalt Strike的Beacon,然后于记忆体内执行。针对此恶意程式载入工具的来历,它源自于开源的libPeConv,使用RC4演算法解密档案,其金𬬭来自特定执行档的MD5杂凑值,因此此工具必须搭配EXE执行档才能运作,附带一提的是,骇客在MDifyLoader所有功能插入许多垃圾程式码,导致资安系统自动侦测的难度大幅增加。 而对于骇客使用的Cobalt Strike,在执行过程会运用1个位元组的XOR金钥进行解密,此Beacon的组态档案经RC4演算法处理,需搭配写死的金钥「google」解锁。至于Vshell、Fscan两个作案工具,分别是远端存取木马(RAT)和网路扫描工具,两者皆可公开取得。其中,Vshell为Go语言打造而成的跨平台RAT,但特别的是,这波攻击使用的Vshell会侦测作业系统语言是否为中文(但JPCERT/CC并未提及是简体或正体中文);而Fscan同样以Go语言开发,骇客滥用Python主程式,以DLL侧载手法执行恶意程式载入工具python311.dll,从k.bin解开Fscan,并于记忆体内执行。 在这些骇客成功入侵受害组织的网路环境之后,他们会对AD伺服器、FTP伺服器、微软SQL Server、SSH伺服器下手,借由暴力破解取得帐密资料。此外,骇客也会试图运用永恒之蓝(EternalBlue、MS17-010)漏洞,渗透尚未修补的SMB伺服器。透过上述活动取得的帐密,他们再借由RDP与SMB横向移动到其他系统,从而在整个网路环境部署恶意程式。 此外,骇客为了能持续在网路环境活动,他们会建立新的网域帐号,并新增到现有的群组来达到目的;再者,他们也会将恶意软体注册为系统服务,或是工作排程,以便在受害主机开机,或是特定事件出现时启动。