分析伊朗駭客組織 MuddyWater 的最新攻擊活動,可以發現他們在操作手法上正從早期的粗獷轉向更加精細且隱蔽的模式。這次行動影響了全球九個國家的工業製造、金融及公共部門,其中最值得工程師關注的是他們如何利用 DLL Side-Loading 以及合法軟體憑證來規避安全防護。
深入理解 DLL Side-Loading 技術
對於剛接觸資安的工程師來說,首先要理解 DLL Side-Loading(DLL 側載)是什麼。在 Windows 系統中,當一個執行檔(EXE)啟動時,它會嘗試加載所需的動態連結庫(DLL)。如果程式碼中沒有指定 DLL 的絕對路徑,系統會依照特定的搜尋順序在目前目錄中尋找。
攻擊者利用這個特性,將一個具有合法數位簽章的正常執行檔(例如來自 Fortemedia 或 SentinelOne 的官方工具)與一個惡意的 DLL 放在同一個資料夾中,並將惡意 DLL 重新命名為該執行檔預期要加載的文件名。當合法執行檔啟動時,它會毫無懷疑地加載惡意 DLL 並執行其中的代碼。
為什麼這種手法有效?因為安全軟體(如 EDR 或防毒軟體)在掃描時,會看到執行的是一個經過官方簽署、信譽良好的合法程序,從而降低了觸發警報的機率。這次 MuddyWater 特別選用安全產品的二進位檔案,目的就是為了在行為分析中偽裝成正常的安全掃描活動。
繞過 App-Bound Encryption 與憑證竊取
在進入系統後,MuddyWater 使用了一個名為 ChromElevator 的開源工具。這在實務上非常危險,因為現代瀏覽器(如 Chrome 或 Edge)為了保護密碼和 Cookie,使用了 App-Bound Encryption(應用程式綁定加密),旨在確保只有特定的應用程式才能解密這些敏感數據。
然而,ChromElevator 能夠繞過這種保護機制,直接從 Chromium 核心的瀏覽器中竊取支付卡資訊、Cookie 和密碼。這意味著即便系統有基礎的加密保護,一旦攻擊者成功執行高權限代碼,這些機密資訊依然會外洩。
多層次的執行鏈與滲透路徑
MuddyWater 的攻擊路徑並非單一指令,而是一套組合拳。他們使用了 Node.js 腳本來啟動 PowerShell 代碼,這種跨語言的執行方式能有效混淆偵測工具的追蹤。
具體的攻擊流程如下。首先透過 Node.exe 部署 PowerShell 腳本,進行內網偵查(Reconnaissance)、截圖以及竊取 SAM Hive(儲存 Windows 用戶密碼雜湊的註冊表檔案)。接著,他們會建立 SOCKS5 反向代理隧道(Reverse-Proxy Tunnelling),讓攻擊者能將外部流量轉發至內網,實現遠端控制。
最後,為了確保持久化(Persistence),他們會反覆執行上述的 DLL 側載對組件,確保即使部分進程被關閉,依然能重新獲取主機訪問權。
數據外洩的非傳統路徑
在數據外傳階段,MuddyWater 採取了兩種截然不同的策略。一種是利用公開的文件傳輸服務(如 sendit.sh)作為中繼站,將 stolen data 暫存於此。
另一種更為隱蔽的手法是利用受害者的公開網站。他們將竊取的資料壓縮成 RAR 檔,直接上傳到受害者網站的根目錄(Web Root),再利用 Axel 等命令列下載加速工具將其提取出來。這種做法將外傳流量偽裝成正常的網站文件更新或上傳,極難被流量分析工具偵測。
總結與實務啟示
這次行動顯示出 MuddyWater 的操作衛生(Operational Hygiene)顯著提升。他們不再依賴單一的漏洞,而是將多個成熟的技術組合在一起:合法憑證偽裝、繞過瀏覽器加密、利用 Node.js 混淆以及偽裝流量外傳。
對於開發者與維運工程師,這提醒我們不能僅依賴數位簽章來信任一個程序。監控不尋常的 DLL 加載行為、限制 PowerShell 的執行權限,以及嚴格監控 Web 根目錄的非預期文件變動,才是防禦此類高級持續性威脅(APT)的關鍵。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。