情报背景
近期,Splunk 威胁研究团队对QakBot的攻击手法的演进进行了分析,在这之中不乏有各种技术的改进利用和创新。其中,QakBot在对钓鱼技术的改进更是细腻,本文将对文中的钓鱼技术改进进行剖析。
组织名称 | QakBot |
战术标签 | 初始访问 载荷投递 |
技术标签 | html smuggling iso lnk |
情报来源 | https://www.splunk.com/en_us/blog/security/from-macros-to-no-macros-continuous-malware-improvements-by-qakbot.html |
01 攻击技术分析
攻击过程如下图:
1.钓鱼网页中利用HTML smuggling将zip文件释放至目标主机
2.受害者点击恶意zip并输入密码,解压文件
3.解压后的文件中包含ISO文件,打开ISO后在受害者的视角中,只看到了一个伪造成文件夹的lnk文件,诱导受害者点击
4.受害者点击LNK文件后执行恶意脚本,攻击者实现上线,达到攻击目的
亮点1 HTML smuggling的双层嵌套进行防御规避
html smuggling自出现以来,备受钓鱼佬的青睐,各类安全产品也逐渐对此有所检测。而QakBot在攻击中采用了多个html钓鱼网站嵌套的方式,进行有效的防御规避。具体过程如下:
1.对使用了html smuggling技术的html2进行base64和字符反转实现混淆,嵌入在html1(受害者访问的钓鱼网页)中
图一 html1部分代码
2.嵌入方式采用的是html的 "embed" 标签,且setAttribute中参数设为1,即对该段代码的执行进行隐藏
3.执行html1中的reverse函数之后,将html2进行恢复并执行html smuggling实现下发zip恶意压缩包。html2具体代码如下:
图二 html2部分代码
以往攻击者使用html smuggling的方式大多只是如html2一样,即一个html中包含html smuggling,打开后便下发文件至受害者本地。而该方式的改进,让原本释放文件的html文件更加隐蔽,html smuggling的代码执行也从原本的静态可见演变为动态执行,具有良好的防御规避效果。
亮点2 lnk执行的改进
攻击者使用的lnk的构造如下:
1.使用cmd.exe 执行.bat脚本,bat脚本执行另一个cmd脚本protracted.cmd,且protracted.cmd使用参数进行执行,bat脚本具体内容如下:
C:\Windows\System32\cmd.exe /c tools\protracted.cmd re gs v2. "re gs v" 作为参数传入 protracted.cmd脚本,拼接脚本,实现脚本执行
3.脚本执行功能主要有:
将系统自带的regsvr32.exe复制为\appdata\local\temp\envelopingConcussion.com
使用envelopingConcussion.com执行bucketfuls.dat程序
bucketfuls.dat是一个具有后门功能的dll,达到攻击目的
由此可见,与其他常见的lnk采取的方式不同的是,该bat脚本中执行cmd脚本程序时:
1.使用参数构造完整的cmd脚本,将敏感的程序名和路径的字符串,如"regsvr32.exe",通过脚本进行拼接,减少敏感字符串暴露,达到静态防御规避效果
2.脚本中再执行脚本,而不是直接执行程序,拉长攻击链,同样达到防御规避效果
02 总结
本文对QakBot在钓鱼中的技术的再改进进行了一定的分析,是值得参考的防御规避手法,可以借此举一反三,加强规避效果。同时,对于防守方而言,也是可参考的检测点。
绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。
研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。
M01N Team公众号
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队
官方攻防交流群
网络安全一手资讯
攻防技术答疑解惑
扫码加好友即可拉群
往期推荐
如有侵权请联系:admin#unsafe.sh