Sophos
團隊協作平臺Confluence的重大漏洞CVE-2021-26084,Atlassian甫於8月底修補完成,9月初就傳出遭到攻擊者利用,美國當局因此提出警告,呼籲用戶要儘速修補Confluence伺服器,不久之後,又有資安研究人員提出新發現:攻擊者已利用含有漏洞的Confluence來挖礦牟利(其中,持續整合(CI)工具Jenkins證實他們已棄用的協作平臺伺服器受害)。
現在,此項漏洞也被勒索軟體駭客盯上。資安業者Sophos於10月4日,揭露自9月中旬出現的Atom Silo勒索軟體攻擊行動,而在這起事故中,攻擊者入侵受害組織的管道,就是藉由上述的Confluence漏洞,再橫向感染其他處於相同區域網路的電腦。
關於Atom Silo的特徵,Sophos表示,它與LockFile幾乎相同,但攻擊者運用了一些新手法,而使得調查極為困難,例如,攻擊者使用側載惡意動態程式庫的方式,來中斷Sophos端點防毒軟體的運作。
透過協作平臺漏洞入侵,植入後門程式
關於此次勒索軟體的攻擊,是發生在9月24日,但其實駭客在9月13日,就攻擊受害組織的Confluence伺服器,侵入管道是物件圖導航語言(Object Graph Navigation Language,OGNL)注入漏洞CVE-2021-26084,對方經由程式碼注入攻擊而在受害者系統上形成了後門,使得攻擊者後續能夠下載作案工具並執行。
除了上述漏洞產生的後門,攻擊者透過惡意酬載於Confluence伺服器上,植入第2個後門程式──這個後門由3個檔案組成,其中一個為具有合法簽章的可執行檔案,攻擊者用來側載惡意DLL程式庫。
而這個惡意DLL檔案的啟動方式,是被冒充為可執行檔案所需的程式庫,與可執行檔案存放於相同的資料夾,以便讓可執行檔案運作時存取,這種手法被稱為DLL搜尋順序挾持(DLL Search Order Hijacking)。
至於該惡意檔案的作用,是讀取最後一個檔案mfc.ini,來解密並載入後門。
上述DLL載入的惡意程式碼內容,會使用TCP/IP的80連接埠,存取1個中繼站的主機名稱,程式碼一旦載入,攻擊者就能透過Windows管理介面(WMI),遠端執行Shell命令。接下來,駭客可以開始橫向移動,並在5個小時內入侵數臺伺服器。
利用核心驅動程式與駭客工具,讓防毒軟體無法正常運作
前述入侵工作完成之後,攻擊者一直到了9月24日,才再度行動。他們開始探索受害組織的重要伺服器,並遠端操作RClone軟體,將資料到外洩到攻擊者持有的雲端檔案同步服務(特定Dropbox使用者帳號的雲端儲存空間)。
等到資料傳輸完成,他們便將勒索軟體Atom Silo的相關檔案,上傳到網域控制器,再藉由群組原則的套用,感染網域裡的所有電腦。而在啟動勒索軟體之前,攻擊者也利用核心驅動程式檔案drv64.dll,來干擾受害電腦安裝的Sophos防毒軟體運作,並且停用Sophos的檔案掃描服務。
那麼,若是端點偵測與反應系統(EDR)遇到這個惡意軟體,又會是如何呢?Sophos表示,雖然他們的端點防護軟體Intercept X,能透過CryptoGuard功能偵測到勒索軟體,但攻擊者會接著發動第2波攻擊,將第2個攻擊執行檔,植入Windows的使用者桌面資料夾,使得防護遭到破壞,並且再度更新群組原則來執行Atom Silo。
熱門新聞
2024-10-05
2024-10-05
2024-10-07
2024-10-04
2024-10-07
2024-10-04
2024-10-04
2024-10-05