對於剛入行的工程師來說,我們通常認為防禦惡意軟體就是要把所有「不明程式」擋掉。但現實中有一種非常棘手的攻擊手法叫做 Living off the Land,也就是利用系統內建或合法的第三方軟體來達成攻擊目的。最近被披露的 VENOMOUS#HELPER 攻擊行動就是一個典型案例,攻擊者並不開發複雜的病毒,而是直接安裝合法的遠端管理工具來控制受害者。
首先我們要了解什麼是 RMM。RMM 全稱為 Remote Monitoring and Management,即遠端監控與管理工具。這類軟體(例如文中提到的 SimpleHelp 和 ScreenConnect)原本是用於 IT 運維人員遠端維修電腦、更新伺服器的合法工具。因為這些軟體具有數位簽章且功能強大,能合法地讀取螢幕、操作鍵盤並傳輸檔案,因此很容易繞過傳統的防毒軟體(Antivirus),因為防毒軟體會認為這只是 IT 部門在進行正常維護。
這次攻擊的起點是典型的社交工程(Social Engineering)。攻擊者偽裝成美國社會安全局(SSA)發送釣魚郵件,誘導使用者下載一份偽裝成文件的執行檔。為了避開郵件過濾器的偵測,攻擊者採取了兩段式跳轉:先將連結指向一個被入侵的合法墨西哥企業網站,再由該網站引導至存放惡意程式的伺服器。這種方式利用了合法網站的信譽,降低了被攔截的機率。
當受害者執行該程式後,攻擊者部署了 SimpleHelp。這不僅僅是安裝軟體,他們還採取了多項確保控制權的手段。第一是建立 Windows 服務並設定安全模式持久化,確保電腦重啟後後門依然有效。第二是部署了自我修復監控程式(Self-healing Watchdog),如果管理員發現並強制關閉該程序,監控程式會立即將其重新啟動。第三是持續掃描系統的安全產品,每 67 秒檢查一次 WMI 命名空間(Windows 管理工具的一種接口),以確認是否有安全軟體在偵測他們。
更危險的是權限提升。攻擊者利用 SimpleHelp 的合法組件獲取 SeDebugPrivilege(偵錯權限),進而提升至 SYSTEM 權限(Windows 的最高系統權限)。一旦拿到這個權限,攻擊者就擁有了對該電腦的絕對控制權,可以靜默執行任何指令或橫向移動到內網的其他機器。
為了防止被發現後失去聯繫,攻擊者採取了冗餘雙通道架構(Redundant Dual-channel Access Architecture)。他們在安裝完 SimpleHelp 後,會接著安裝另一個合法工具 ScreenConnect。這就像是為後門準備了備用鑰匙,即便資安人員發現並封鎖了 SimpleHelp 的連線,攻擊者依然可以透過 ScreenConnect 重新進入系統。
這類攻擊對企業的影響極大,因為它將受害者置於一種長期被監控的狀態。由於使用的軟體本身是合法且有簽名的,基於特徵碼(Signature-based)的防禦手段幾乎完全失效。這提醒我們,單靠防毒軟體是不夠的,必須導入行為分析(Behavioral Analysis)與端點偵測與回應(EDR),監控異常的權限提升行為或不尋常的遠端連線流量,才能有效對抗這類利用合法工具的攻擊。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。