這類攻擊的核心在於利用信任鏈來降低安全工具的警覺性。近期發現的一場惡意郵件攻擊(Malspam)採取了非常聰明的做法,將 Google 的 DoubleClick 域名作為跳板,以此將受害者導向最終的惡意載荷(Payload)。這種手法能有效繞過許多僅依賴域名信譽(Domain Reputation)來過濾流量的安全防禦機制。
攻擊流程與技術細節
這次攻擊的起點是包含 HTML 附件的釣魚郵件。當使用者開啟該 HTML 檔案後,瀏覽器會觸發 meta-refresh(一種 HTML 元標籤,用於在指定時間後自動跳轉頁面),將使用者導向 Google DoubleClick 的廣告追蹤 URL。由於 DoubleClick 是 Google 擁有的合法域名,大多數的安全閘道或端點偵測工具不會將其視為可疑,這讓攻擊者成功地在第一時間掩蓋了真實的攻擊意圖。
接著,使用者會被導向至一個動態生成的釣魚頁面。該頁面會自動解析受害者的電子郵件地址(透過 Base64 編碼傳遞),並即時抓取該公司相關的品牌視覺與地理位置資訊,讓頁面看起來像是公司內部的合法通知,而不需要攻擊者為每個目標手動製作釣魚頁面。這種自動化能力極大地提升了攻擊的規模化與效率。
載荷遞送與感染路徑
當受害者點擊頁面上的下載 PDF 按鈕時,伺服器會回傳一個 ZIP 壓縮檔。這個壓縮檔內含一個 JavaScript 加載器,其目的是在不引起注意的情況下執行後續操作。
具體的感染鏈如下:JavaScript 腳本會解壓並執行一個 PowerShell 腳本,進而從外部伺服器下載一個 .NET 載入器(Loader)。這個載入器扮演著 Stager(分段載入器)的角色,會先檢查環境是否處於分析沙箱(Sandbox)中,並嘗試停用系統安全控制。
最後,載入器使用 Process Hollowing(程序掏空)技術將真正的惡意程式 DesckVB RAT 注入到具有 Microsoft 數位簽名的合法程序中。Process Hollowing 是一種進階的隱匿技術,它會啟動一個合法的程序,將其記憶體內容清空,再填入惡意代碼,讓惡意程式在作業系統眼中看起來像是正常的系統程序在運行。
DesckVB RAT 的行為與影響
一旦 DesckVB RAT 成功運行,它會透過原始 TCP Socket 與命令控制伺服器(C2 Server)通訊。為了確保長期潛伏,它會採取多項反偵測措施:
首先,它會在原生 API 層級對 AMSI(Antimalware Scan Interface,Windows 的反惡意軟體掃描介面)和 ETW(Event Tracing for Windows,Windows 事件追蹤)進行 Patch(補丁修改)。這相當於在系統底層把安全監控的眼睛遮住,讓 Windows 的遙測數據無法捕捉到惡意行為。
其次,它會透過修改登錄表(Registry)的 Run 與 RunOnce 鍵值,以及在使用者的啟動資料夾(Startup folder)放置載入器,來實現持久化(Persistence),確保電腦重啟後惡意程式仍能自動執行。
該木馬具備完整的遠端控制能力,包括提取數據、執行任意指令以及部署其他後續載荷。若偵測到分析工具或沙箱環境,它會採取極端手段直接終止程序或強制重啟機器以銷毀痕跡。
實務防禦建議
面對這種利用合法服務跳轉的攻擊,單一的防禦手段是不夠的,必須採取深度防禦(Defense in Depth)策略。
針對端點配置,建議透過群組原則(GPO)強制將 .vbs、.hta 和 .js 等腳本檔案預設使用記事本(Notepad)開啟。這樣即使使用者點擊了惡意附件,腳本也只會以文字形式顯示,而不會被系統執行,能從第一關直接截斷攻擊鏈。
在郵件安全方面,企業應嚴格部署 SPF(發件者策略框架)、DKIM(網域金鑰識別郵件)與 DMARC(郵件驗證、報告與一致性)紀錄,以降低郵件被偽造的可能性。此外,部署具備沙箱分析能力的郵件閘道(Email Gateway),在郵件送達使用者前先對附件與連結進行動態分析,是目前最有效的攔截手段。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。