這是一個非常典型的網路間諜活動案例,攻擊目標並非追求快速的金錢獲利,而是長期潛伏以獲取高價值情報。受害者是一位全球大型證券交易所的高階主管,其 Outlook 郵件信箱被監控長達五個月。對於工程師或資安維運人員來說,這個案例最值得關注的不是某個特定的漏洞,而是攻擊者如何將惡意行為偽裝成正常的系統運作,從而規避偵測。
攻擊者的潛伏與權限獲取
這次攻擊最危險的地方在於,當防禦者發現異常時,攻擊者已經取得了 SYSTEM 權限。SYSTEM 是 Windows 作業系統中的最高權限等級,意味著攻擊者可以完全控制該台電腦,包括讀取任何檔案、安裝驅動程式或停用安全軟體。
雖然最初的入侵路徑不明,但分析顯示這很可能是橫向移動 Lateral Movement 的結果。所謂橫向移動,是指攻擊者先攻破內網中一台防禦較弱的設備,隨後在內網中尋找目標,最終跳轉到這名高階主管的電腦上。為了維持權限,攻擊者部署了兩個偽裝成 Adobe 更新程式與 OneDrive 的二進位執行檔,讓管理員在工作管理員中看到這些程序時,會誤以為是正常的背景服務。
利用合法庫與分批竊取策略
攻擊者並沒有使用容易被防毒軟體偵測的已知木馬,而是利用了一個名為 Aspose 的合法 .NET 函式庫。Aspose 是一個常用於處理文件的開發工具,具備讀取 Outlook 離線儲存檔(OST 和 PST 檔案)的功能。攻擊者將此函式庫封裝在自製的執行檔中,將信箱內容轉換為 PST 格式並寫入磁碟。
為了避免觸發流量異常告警,攻擊者採取了分批竊取策略。他們首先抓取 2025 年 8 月起的所有歷史郵件,之後每隔兩到四週回來一次,僅抓取自上次執行以來的新郵件。這種小規模、低頻率的數據外傳方式,讓流量特徵與日常辦公行為極其相似,極難被安全監控系統捕捉。
隱匿外傳路徑的技巧
數據外傳 Exfiltration 是攻擊最容易暴露的環節,但此次攻擊者採取了極其巧妙的偽裝手段:
首先,他們使用 Dropbox 和 OneDrive 個人帳號作為中轉站。由於許多公司允許員工使用雲端儲存,這些流量在防火牆日誌中看起來就像是正常的雲端同步活動。
其次,在連接 OneDrive 時,攻擊者直接使用硬編碼的 Microsoft IP 地址,而非使用 onedrive.live.com 這種域名。這樣做可以繞過 DNS 查詢 DNS Lookup,因為許多網路安全設備會監控異常的 DNS 請求來識別惡意域名,直接使用 IP 則讓這類偵測失效。
此外,攻擊者還利用了排程工作 Scheduled Tasks,將惡意任務偽裝成 Adobe、Lenovo 或 OneDrive 的系統服務,進一步降低被發現的機率。
防禦觀點:為什麼沒有補丁能解決這個問題
這個案例最重要的一點是:整個攻擊過程中沒有用到任何 CVE(通用漏洞披露)漏洞。這意味著即使你的系統更新到最新版本,只要攻擊者能透過社交工程或內網橫向移動獲取憑據,一樣能達成目的。
這將防禦的重心從漏洞修補 Patching 轉移到了行為監控 Monitoring。對於持有敏感資訊的組織,應關注以下異常行為:
第一,監控非預期的郵件匯出活動,例如在非管理員權限下出現的大量 PST/OST 檔案讀取。
第二,檢查特權帳號設備是否有異常的雲端儲存流量,特別是連接到個人雲端帳號而非公司企業帳號的行為。
第三,監控系統中偽裝成合法服務的排程工作,以及是否存在不正常的網路隧道工具(如 FRPC)或憑據傾印工具(如 Secretsdump)。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。