這是一個非常值得關注的安全案例,因為它展示了攻擊者如何將「合法功能」轉化為「攻擊路徑」。通常我們認為要偷手機裡的簡訊或驗證碼,必須先攻破手機(例如安裝惡意 APK 或利用 iOS 漏洞),但這次的攻擊手法完全不同:它直接在電腦端下手。
攻擊的核心在於濫用微軟內建的 Phone Link(手機連結)應用程式。這個功能允許使用者將 Android 或 iPhone 與 Windows 電腦配對,以便在電腦上收發簡訊、接聽電話或查看通知。對於使用者來說這是便利,但對於攻擊者來說,這就像是在電腦上開了一個可以直接讀取手機私密資料的後門。
攻擊鏈的運作流程
這次攻擊由一種名為 CloudZ 的遠端存取木馬(RAT, Remote Access Trojan)主導。RAT 是一種允許攻擊者遠端控制受害電腦的惡意軟體。整個入侵過程可分為三個階段。
第一階段是建立據點。攻擊者首先透過尚未明確的初始路徑進入系統,投放一個偽裝成合法軟體 ConnectWise ScreenConnect 的執行檔。這個執行檔會下載並執行一個 .NET Loader(載入器,並利用 PowerShell 腳本設定排程工作,確保電腦即使重啟,惡意程式依然能自動執行。
第二階段是環境偵察與部署。.NET Loader 會先檢查硬體環境,確認這不是安全研究人員的沙箱(Sandbox)後,才會部署模組化的 CloudZ 木馬。CloudZ 建立加密連線回傳到 C2 伺服器(Command and Control Server,即攻擊者的指揮中心),等待進一步指令。
第三階段是精準竊密。這是本次攻擊最特殊的地方。CloudZ 部署了一個專門的插件叫做 Pheno。Pheno 的任務不是去攻擊手機,而是監控 Windows 系統中 Phone Link 的運作狀態。當它確認 Phone Link 正在運行且已與手機配對時,它會直接去讀取 Phone Link 在本地端儲存的 SQLite 資料庫檔案。
為什麼這個手法很危險
這類攻擊帶來了兩個嚴重的安全影響。
首先是繞過二階段驗證(2FA)。許多服務使用簡訊 OTP(One-Time Password,一次性密碼)作為第二層驗證。如果攻擊者能透過 Pheno 插件直接從電腦端的 Phone Link 資料庫中讀取即時簡訊,他們就能在不需要持有實體手機的情況下,直接獲取驗證碼並登入受害者的帳戶。
其次是降低了攻擊門檻。傳統上,手機作業系統(如 Android 與 iOS)具有較強的沙箱隔離機制,入侵難度較高。但透過濫用跨裝置同步功能,攻擊者只需要攻破安全性相對較弱的 Windows 電腦,就能間接獲取手機端的敏感資訊,完全不需要在手機上安裝任何惡意軟體。
實務上的啟示
對於工程師與系統管理員來說,這個案例提醒我們,任何旨在提升便利性的同步功能,本質上都在擴大攻擊面(Attack Surface)。當我們將手機資料同步到電腦時,手機的安全性就等同於電腦的安全性。
要防禦此類攻擊,除了基本的端點防護(EDR)來偵測異常的 .NET 載入器與非預期的排程工作外,對於高風險人員,應審慎評估是否必要開啟跨裝置的簡訊同步功能,或改用基於 App 的 TOTP(如 Google Authenticator)來取代簡訊驗證碼,以切斷透過簡訊同步被竊密的路徑。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。