研究人員揭露一起相當罕見的惡意軟體攻擊行動,但特別的是,當中採用的惡意程式GrassHopper,其實是結合兩種可公開取得的開源工具:Shell Code生成框架Donut、滲透測試框架Sliver,打造而成
針對上述的攻擊行動,研究人員懷疑是資安人員的滲透測試所致,但由於相關的攻擊基礎設施並未與市面上的滲透測試業者有關,因此他們認為應該向資安社群公布相關發現。
究竟對方如何發起攻擊?研究人員在其中2起發生在2023年11月的攻擊行動裡,發現對方疑似透過特別製作的WordPress網站,散布VHD虛擬磁碟檔案格式作為初始的有效酬載,駭客使用偷渡式下載(Drive-by Download)的手法,將VHD檔植入受害電腦。
一旦使用者將VHD檔案掛載,就會在磁區看到Windows捷徑檔案(LNK),該檔案含有看似圖片的圖示,開啟後就會執行設為隱藏屬性的HTML應用程式檔案(HTA),顯示誘餌圖片降低使用者的戒心,並啟動第一階段的惡意程式。
這個圖片內容含有以色列經濟及工業局的圖標,並以希伯來文寫著:假期驚喜!抱歉,你沒有贏。
駭客使用的第一個惡意程式是以程式語言Nim打造而成,主要的用途是下載第2階段的惡意軟體,此惡意軟體濫用GlobalSign的根憑證檔案啟動SSL連線,從遠端取得惡意檔案並在記憶體內執行。
而第2階段的惡意酬載是GrassHopper,研究人員指出是結合兩種開源的工具而成,檔案大小約為15 MB。而這些遭濫用的開源工具元件,分別是Shell Code生成框架Donut,以及滲透測試框架Sliver。
在GrassHopper初始化的階段,攻擊者會進行解碼處理及使用API雜湊值解析功能函數,然後竄改Windows安全防護機制反惡意軟體掃描介面(AMSI)及Windows鎖定政策(WLDP),阻礙受害電腦安裝的防毒軟體運作,最終對應(map)與執行嵌入的酬載。
究竟這起資安事故是攻擊行動還是合法的滲透測試?研究人員推測,很有可能是企業組織的滲透測試行為。
他們進一步指出,由於這場攻擊行動相當特別,不僅攻擊範圍相當有限,目標極為明確,而且,只有少量惡意程式檔案與之有關,這代表了對方僅進行極少量的入侵嘗試,這些現象皆與駭客的攻擊行為相當不同。
再加上駭客使用的工具鏈主要由開源工具組成,僅有初始的HTA檔案及Nim下載器為自行開發,並自行架設WordPress網站做為交付有效酬載的管道,但研究人員認為上述攻擊內容小型團隊就能執行。
不過,若是滲透測試行為,上述揭露的惡意酬載已實際被利用或是散布,卻沒有任何能直接佐證是資安業者執行滲透測試的證據,再加上佯裝成政府機關或是關鍵基礎設施的名義從事相關行為,可能會造成政治局勢緊張,並導致不必要的後果。因此,他們也無法完全排除是網路攻擊的行為。
但無論實際上是那一種行為,這起資安事故的發生,突顯攻擊者有許多現成、公開的攻擊框架工具可用,使得未來的資安調查及威脅分析工作變得更加困難,成為資安人員將要面臨的挑戰。
