原创 | 钓鱼邮件攻击出现新手法,黑客利用摩尔斯电码、ASCII等多种编码来逃避检测

admin 2021年11月3日23:07:25评论104 views字数 4566阅读15分13秒阅读模式

作者 | 天地和兴工业网络安全研究院

【编者按】微软揭露了一项自2020年7月开始出现的为期一年的钓鱼邮件攻击的细节。攻击者在钓鱼邮件里挟带了伪装成发票的HTML文档,来窃取Office 365账户凭据。为了规避邮件防护系统检测,攻击者采用了多种编码方法混淆加密机制,并且平均每37天就更换新的手法,能够不断逃避检测并保持凭证窃取活动运行。

黑客使用的技术包括看似无害的通信协议及自擦除软件程序,攻击者利用已有177年历史的信号系统摩尔斯电码(Morse Code)来隐藏自己的情况并不常见,在长达一年的网络钓鱼活动中发挥了作用。摩尔斯电码是一种在电报技术中用点和横线表示字符的方法,是黑客们用来掩盖恶意软件的几种方法之一。微软并没有透露这些黑客的身份。该事件提醒我们,现代网络攻防措施虽然复杂,但往往基于隐藏和破解密码的简单概念。

攻击者为了避免钓鱼邮件遭到拦截,附件很可能会利用较为少见的文档格式来挟带作案工具。最近也有攻击者改变策略,使用一般邮件可能会出现的附件类型,来挟带含有攻击意图的工具,避免附件的文档格式可能会被网络管理人员列为黑名单拦截的情况。

微软将附件比作一个“拼图游戏”,HTML文件的各个部分本身在代码级别上看起来是无害的,因此可以绕过端点安全软件。只有当这些部分被解码并组合在一起时,才会显示出它的攻击意图。因此许多邮件防护系统可能难以侦测出异常。

该活动自2020年7月被发现以来已经历了10次迭代,攻击者定期切换其编码方法,来掩盖HTML附件的恶意性质及文件中包含的不同攻击片段。

一、从纯文本到摩尔斯电码:频繁变化的攻击片段编码

最近这起攻击行动自2020年7月出现,为期至少一年,而比较特别的地方,就是攻击者使用了Base64、ASCII、Unicode、摩尔斯编码,将HTML程序代码混淆,来规避邮件防护系统检查内容的范围。而且攻击者每隔1到2个月,平均间隔37天,便会调整、改进编码搭配的方式,使得这类钓鱼邮件的附件更难被察觉异状。

此类网络钓鱼活动体现了现代电子邮件威胁复杂、隐蔽、且不断演变的特点。HTML附件被分成几个部分,包括用于窃取密码的JavaScript文件,然后使用各种机制对这些文件进行编码。这些攻击者从使用纯文本HTML代码转向使用多种编码技术,包括老旧的和不寻常的加密方法,如摩尔斯码,以隐藏这些攻击片段。有些代码段甚至没有出现在附件中,反而驻留在各种开放目录中,并由编码脚本调用。

值得留意的是,并非整个HTML文档的程序代码,攻击者都会采用相同的编码进行混淆,而是有可能在不同的程序代码片段,利用2至3种编码。微软指出,此类网络钓鱼活动的独特之处在于,攻击者对HTML文件进行编码,以绕过安全控制。HTML附件被分成多个部分,然后使用各种编码机制对其进行编码。为了说明这一点,网络钓鱼攻击的细分详解如下图所示: 

原创 | 钓鱼邮件攻击出现新手法,黑客利用摩尔斯电码、ASCII等多种编码来逃避检测

图1 网络钓鱼运动解析

  • 第一片段:攻击目标的电子邮件地址;

  • 第二片段:目标用户的商标图片,来自于logo[.]clearbit[.]com、i[.]gyazo[.]com或api[.]statvoo[.]com。如果没有商标图片,就在此处加载Microsoft Office 365的图片;

  • 第三片段:加载模糊文档图像的脚本,显示登录可能已超时,需要重新登入;

  • 第四片段:提示用户输入密码的脚本,将输入的密码提交给远程网络钓鱼工具,并向用户显示一个带有错误信息的虚假页面。

第一片段及第二片段包含有关目标用户的电子邮件地址和组织的编码信息。这些细节不仅增强了攻击活动的社会工程诱惑力,还表明攻击者事先对目标收件人进行了侦察。

微软表示,黑客使用的混淆手法已经迭代了10次。例如,在攻击初期的2020年7月,黑客尚未采用混淆手法,HTML的内容都是一般纯文本HTML程序码。而到了2020年8月下旬至10月的攻击行动中,攻击者开始针对企业商标的图片,以及钓鱼工具套件的来源网域,采用Escape编码机制来进行混淆处理,其余部分仍是使用纯文本HTML程序码。

在混淆手法演变过程中,攻击者混合了多种演算法来处理附件中的HTML,如Base64、ASCII、Unicode编码、以及摩尔斯编码等,甚至还有部分模块能过二次编码处理的情况,混淆手法可说是相当复杂。

定期更新编码方法证明攻击者意识到需要更改其例程来规避安全技术。以下是钓鱼活动在2020年7月至2021年7月期间使用的编码机制的时间表:

原创 | 钓鱼邮件攻击出现新手法,黑客利用摩尔斯电码、ASCII等多种编码来逃避检测

图2 xls/xslx.html网络钓鱼活动和使用的编码技术的时间轴

二、从纯文本HTML到编码片段的转换

在2020年7月观察到的网络钓鱼活动的第一次迭代中(使用“付款收据”作为诱饵),所有已识别的部分,如用户邮件标识(ID)和最终登录页,均以纯文本HTML编码。然而,在下个月的攻击中(使用“合同”作为诱饵),当该组织从第三方网站获得的商标和指向网络钓鱼工具包的链接使用Escape进行编码时,情况发生了变化。 

原创 | 钓鱼邮件攻击出现新手法,黑客利用摩尔斯电码、ASCII等多种编码来逃避检测

图3 2020年7月间HTML代码中的攻击片段

原创 | 钓鱼邮件攻击出现新手法,黑客利用摩尔斯电码、ASCII等多种编码来逃避检测
图4 2020年8月在HTML代码中嵌入钓鱼工具域和目标组织的logo

( 1 ) 在第三方网站上托管片段及多种编码机制

从2020年8月下旬开始,从HTML附件中删除了显示模糊的Excel背景和加载网络钓鱼工具包的实际代码段。这些链接被JavaScript文件的链接替代,而JavaScript文件又被托管在一个免费的JavaScript托管站点上。

然后使用至少两层或编码机制组合对片段、链接和实际的JavaScript文件进行编码。微软在随后的几个迭代中也观察到了这个策略。例如,在2020年11月的附件的HTML代码(“组织名称”)中,两个JavaScript文件的链接以两个步骤编码在一起,首先使用Base64,然后使用ASCII。同时,HTML文件中的用户邮件ID和组织的logo是用Base64编码的,而实际的JavaScript文件用Escape编码。

原创 | 钓鱼邮件攻击出现新手法,黑客利用摩尔斯电码、ASCII等多种编码来逃避检测

图5 2020年11月包含JavaScript的HTML代码

原创 | 钓鱼邮件攻击出现新手法,黑客利用摩尔斯电码、ASCII等多种编码来逃避检测

图6 使用Base64进行第一级编码(左)及解码字符串(右)

原创 | 钓鱼邮件攻击出现新手法,黑客利用摩尔斯电码、ASCII等多种编码来逃避检测

图7 使用ASCII进行第二级编码(左)及解码字符串(右) 

( 2 ) 使用摩尔斯电码

摩尔斯电码是一种古老而不同寻常的编码方法,它使用破折号和点来表示字符。在2月份(组织报告/发票)和2021年5月(工资单)攻击中观察到了这一机制。

在二月份的迭代中,指向JavaScript文件的链接使用ASCII编码,然后使用摩尔斯电码。与此同时,在5月份,网络钓鱼工具包URL的域名在整个HTML代码使用摩尔斯电码编码之前就已经在Escape中进行了编码。

原创 | 钓鱼邮件攻击出现新手法,黑客利用摩尔斯电码、ASCII等多种编码来逃避检测

图8 2021年2月在摩尔斯电码编码嵌入JavaScript(左)并在运行时解码(右)

( 3 ) 使用编码Wrapper

虽然在活动的早期迭代使用了分段的多个编码机制,但微软观察到最近的几次攻击中添加了一个或多个编码层来“包装”整个HTML附件本身。例如,在2021年3月的攻击(发票)中,用户邮件ID使用Base64编码。同时,JavaScript文件的链接用ASCII编码,然后用Escape中的其余HTML代码再次编码。

如前所述,这在2021年5月的迭代中再次出现。在2021年6月的攻击中(清关单),JavaScript文件的链接是用ASCII编码的,而钓鱼工具URL的域名是用Escape编码的。然后,首先使用Base64对整个HTML附件进行编码,然后使用字符编码(分隔符:逗号,Base:10)进行第二级模糊处理。

原创 | 钓鱼邮件攻击出现新手法,黑客利用摩尔斯电码、ASCII等多种编码来逃避检测

图9 2021年6月多层编码HTML,并在运行时解码

三、通过协同威胁防御检测动态变化的混淆技术

此类威胁的高度隐蔽性及其演变速度需要全面保护。通过多种、多层次、基于云的机器学习模型和动态分析,可检测来自网络钓鱼活动的恶意邮件。除了根据已知的恶意信号检查电子邮件和附件之外,还可利用学习模型来检查电子邮件消息和标题属性,以确定消息发送方和接收方的声誉。

利用内置沙箱,可以在其中引爆文件和URL并检查恶意行为,如特定文件特征、调用的进程和其他行为。对于此类钓鱼活动,一旦HTML附件在沙箱上运行,规则就会检查哪些网站被打开,解码的JavaScript文件是否是恶意的,甚至使用的图像是仿冒的还是合法的。攻击者更新其新混淆和编码技术的速度,显示了为这类行动所需的监控专业水平。

微软指出,这样的HTML文档,各部分程序码看起来都是无害的,只有在经过解密且组合在一起的时候,才会显现攻击意图,因此,许多邮件防护系统可能难以检测出异常。微软尚未将黑客归因于已知的组织,也没有透露这些黑客的身份,但认为这是众多以欺诈受害者牟利的网络犯罪团伙之一。

四、缓解措施

微软建议,可采用以下缓解措施减少此类威胁造成的影响:

  • 使用Office 365邮件流规则或Outlook的组策略删除业务不需要的.html或.htm或其他文件类型。检查Office 365反垃圾邮件策略和邮件流规则,查看允许的发件人、域和IP地址。在使用这些设置绕过反垃圾邮件过滤器时要格外小心,即使允许的发件人地址与受信任的组织关联Office 365遵守这些设置,也可能会让潜在的有害信息通过。在威胁资源管理器中检查系统覆盖,以确定攻击消息到达收件人邮箱的原因。

  • 启用安全附件策略以检查入站电子邮件的附件。使用零时自动清除功能为用户启用安全链接保护,以便在URL在交付后被武器化时删除电子邮件。

  • 避免在账户之间重复使用密码,并在高价值系统内部使用多因素身份验证(MFA),如Windows Hello。此外,始终为特权账户启用MFA,并为常规账户应用基于风险的MFA。最后,通过VPN和Outlook Web access进行本地设备访问、远程桌面协议访问/连接需要MFA。这些步骤限制获取的凭据的价值,并减少凭据泄露后的内部遍历,以及使用受感染主机的凭据进行的进一步暴力尝试。

  • 作为安全或网络钓鱼意识培训的一部分,培训最终用户了解网络钓鱼策略。培训应包括检查钓鱼邮件或应用程序同意屏幕中的拼写和语法错误,以及伪造的应用程序名称和域名URL,这些名称和域名似乎来自合法的应用程序或公司。

  • 鼓励用户使用Microsoft Edge和其他支持Microsoft Defender SmartScreen的web浏览器,这些浏览器可识别和阻止恶意网站,包括钓鱼网站、诈骗网站以及包含漏洞攻击和宿主恶意软件的网站。启用网络保护以阻止与恶意域和IP地址的连接。

参考资料:

1.https://www.microsoft.com/security/blog/2021/08/12/attackers-use-morse-code-other-encryption-methods-in-evasive-phishing-campaign/

2.https://www.cyberscoop.com/morse-code-microsoft-phishing/



转载请注明来源:网络安全应急技术国家工程实验室
“投稿联系方式:010-82992251   [email protected]
原创 | 钓鱼邮件攻击出现新手法,黑客利用摩尔斯电码、ASCII等多种编码来逃避检测

本文始发于微信公众号(网络安全应急技术国家工程实验室):原创 | 钓鱼邮件攻击出现新手法,黑客利用摩尔斯电码、ASCII等多种编码来逃避检测

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月3日23:07:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   原创 | 钓鱼邮件攻击出现新手法,黑客利用摩尔斯电码、ASCII等多种编码来逃避检测http://cn-sec.com/archives/464571.html

发表评论

匿名网友 填写信息