這是一起典型的社交工程攻擊案例,攻擊者利用使用者對熟人或商務文件的信任,將惡意腳本偽裝成財務報告,最終在受害者電腦上安裝合法但被濫用的遠端管理工具。對於工程師來說,這類攻擊的核心不在於利用某個未知的系統漏洞(Zero-day),而是在於利用人類的心理弱點以及 Windows 系統對腳本執行環境的信任。
攻擊路徑與社交工程手法
這次攻擊的主要傳播媒介是 WhatsApp 的桌面版與網頁版。攻擊者首先透過非法手段獲取部分 WhatsApp 帳號的控制權,接著利用這些被盜帳號向其聯絡人發送訊息。這種手法非常危險,因為接收者看到的是來自熟人的訊息,會大幅降低警覺心。
訊息中附帶了偽裝成財務報表或帳單的檔案,例如 Financial Reports.vbs。這裡需要注意 VBScript(Visual Basic Script),這是一種 Windows 內建的腳本語言,可以用來自動化執行系統操作。攻擊者將檔案命名為商務文件,誘使使用者下載並執行。
多階段感染鏈的運作機制
一旦使用者執行了該 VBScript 檔案,系統會調用 WScript.exe(Windows Script Host),這是 Windows 用來執行 VBS 腳本的標準主機程序。隨後攻擊會進入多階段的感染流程。
第一階段是混淆與偽裝。這些腳本經過高度混淆處理,讓資安分析人員難以直接閱讀其邏輯。有趣的是,腳本內部包含了大量模仿 Windows Update(系統更新)的註釋與元數據,甚至包含中文內容,試圖讓系統管理員或安全軟體誤以為這是微軟的合法更新組件。
第二階段是權限提升與載入。腳本會從遠端伺服器下載兩個次級載荷。其中一個載荷專門用於干擾 UAC(User Account Control,使用者帳戶控制)。UAC 是 Windows 用來防止未經許可更改系統設定的警告視窗,如果能繞過或篡改 UAC,攻擊者就能在不觸發警告的情況下獲取高權限。
最終階段是安裝 RMM 工具。攻擊者下載並安裝了 ManageEngine RMM Central。RMM 全稱為 Remote Monitoring and Management(遠端監控與管理),這類工具本來是用於企業 IT 部門遠端維護電腦的合法軟體。但當它被攻擊者非法安裝在受害者電腦上時,就變成了一個強大的後門,讓攻擊者能完全掌控目標系統,且因為軟體本身是合法的,較不容易被傳統防毒軟體偵測為惡意程式。
不同平台的執行差異
根據分析,使用 WhatsApp 網頁版與桌面版的受害者,其感染路徑略有不同。網頁版使用者需要先下載檔案到本地,再手動開啟;而桌面版使用者在執行時,系統進程樹顯示 WhatsApp.Root.exe 直接啟動了 WScript.exe,這意味著惡意腳本在應用程式環境中被直接觸發。
實務防禦建議
對於開發者與系統管理員而言,這類攻擊提醒我們不能僅依賴軟體更新,更需要從執行環境與意識層面著手。
首先,應嚴格管控腳本執行權限。在企業環境中,應盡量禁用或限制 WScript.exe 的執行,除非有明確的業務需求。
其次,提高對特定副檔名的警覺。VBS、VBE、EXE、BAT、CMD、JS 以及 PS1(PowerShell)等檔案具有執行能力,除非經過獨立驗證,否則絕不應開啟來自即時通訊軟體的此類附件。
最後,意識到合法軟體被濫用(Living off the Land)的趨勢。攻擊者越來越傾向於使用 RMM 等合法管理工具來維持持久化訪問,而非編寫複雜的病毒碼。因此,監控系統中是否出現未經授權的遠端管理軟體,比單純掃描病毒碼更為重要。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。