1、事件概述
2.攻击过程分析
第一阶段:PowerShell脚本会检查是否处于沙箱环境,并删除特定的注册表项以标记感染。如果环境通过检测,脚本会进一步下载并执行一个Python脚本。
第二阶段:Python脚本作为shellcode加载器,注入并执行一个名为KaynLdr的恶意DLL,该DLL通过API哈希和直接内存操作加载嵌入的DLL,进一步隐藏恶意行为。
C2通信与隐蔽性:
攻击的核心是改良版的Havoc Demon框架。该框架利用Microsoft Graph API与攻击者控制的SharePoint文件进行通信,将恶意流量伪装成合法的云服务请求。恶意软件会在SharePoint的默认文档库中创建两个文件,分别用于发送加密数据和接收C2命令。所有通信均通过AES-256加密,并在传输完成后立即删除痕迹。
图 1 攻击流程
3.安全专家的建议
FortiGuard Labs的安全专家建议用户和组织采取以下措施以应对此类攻击:
-
提高对钓鱼邮件的警惕性,尤其是涉及终端命令或PowerShell操作的邮件。 -
监控SharePoint中的异常文件创建模式。 -
限制非管理员上下文中PowerShell的执行。 -
使用反病毒软件来检测和阻止恶意软件。
此外,专家还指出,攻击者利用Microsoft的可信服务进行隐蔽通信,显示了攻击的复杂性和隐蔽性。这种攻击方法需要用户手动执行命令,虽然增加了攻击的复杂性,但也提醒用户在操作时必须格外小心。
原文始发于微信公众号(白泽安全实验室):新型恶意软件利用Microsoft Graph API与Havoc框架发起攻击活动
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论