許多開發者或使用者在公司內部安裝工具時,習慣直接透過搜尋引擎搜尋軟體名稱並下載第一個看起來像官方網站的連結。然而,這種習慣正被攻擊者利用,一種稱為 SEO Poisoning(搜尋引擎最佳化毒化)的手法,能讓惡意網站排在搜尋結果的前幾名,誘導使用者下載偽裝成知名軟體的安裝包。
最近 Kaspersky 揭露了一場大規模的攻擊活動,攻擊者將目標鎖定在 OBS Studio、DNS Jumper 等流行工具,透過偽造的多國語言網站分發惡意程式,最終在受害者的系統中部署 AsyncRAT 遠端控制木馬。這場攻擊不僅涉及技術層面的漏洞利用,更是一個完整的社會工程學陷阱。
攻擊路徑的第一步是誘騙下載。攻擊者建立大量模仿官方外觀的網站,並利用 SEO 技術操縱搜尋排名。當使用者下載安裝檔時,他們拿到的是一個壓縮包,裡面包含一個合法且有微軟數位簽章的 install.exe 執行檔,以及一個惡意的 install.res.1033.dll 函式庫。
這裡使用了 DLL Side-loading(DLL 側載)技術。簡單來說,許多合法程式在執行時會嘗試從同一目錄載入特定的 DLL 檔案。攻擊者利用這個特性,將惡意 DLL 放在合法執行檔旁邊,讓合法程式在啟動時不知不覺地載入並執行惡意代碼。這次攻擊的目標是先在系統中部署 ScreenConnect,這是一款合法的遠端管理工具,但被攻擊者用來作為維持權限的後門。
一旦 ScreenConnect 成功執行,它會啟動一系列的自動化指令碼。首先是執行 PowerShell 腳本,目的是在系統層級進行破壞,包括將惡意路徑加入 Microsoft Defender 的排除清單以規避掃描,並停用 UAC(使用者帳戶控制)提示,讓後續操作不需要使用者再次確認權限。
接著,攻擊者透過 VBScript 在公共目錄 C:\Users\Public 下建立多個隱藏檔案,其中包含加密的數據文件 secret_bytes.txt。最終階段會執行一個名為 cap.ps1 的腳本,利用 Process Hollowing(程序掏空)技術來啟動 AsyncRAT。
Process Hollowing 是一種進階的隱匿手法。攻擊者會啟動一個合法的系統程序,將其記憶體中的原始代碼清空,然後將 AsyncRAT 的惡意代碼注入進去。對於防毒軟體或任務管理員來說,看起來像是某個正常的系統程序在執行,但實際上內部跑的是木馬程式。
AsyncRAT 部署完成後,會與遠端伺服器建立連線,讓攻擊者能全面控制受害電腦,包括竊取敏感資料、監控使用者活動以及錄製螢幕畫面。為了確保電腦重啟後依然能被控制,攻擊者還設定了名為 MasterPackager.Updater 的排程工作,每兩分鐘檢查並執行一次惡意腳本。
對於工程師而言,這次事件提醒我們兩個關鍵點。首先,數位簽章並不代表絕對安全,因為 DLL Side-loading 可以讓惡意代碼依附在合法簽章的程式下執行。其次,應養成從官方 GitHub 頁面或正式域名下載軟體的習慣,而非依賴搜尋引擎的排名。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。