黑客滥用微软 ClickOnce 和 AWS 服务进行隐秘攻击

研究人员称之为 OneClik 的复杂网络攻击活动，该活动持续利用微软的 ClickOnce 软件部署工具和自定义 Golang 后门，攻击针对能源、石油和天然气等行业。

黑客依靠合法的 AWS 云服务（AWS、Cloudfront、API Gateway、Lambda）来隐藏命令和控制 (C2) 基础设施。

ClickOnce是 Microsoft 的一项部署技术，允许开发人员创建基于 Windows 的自我更新应用程序，从而将用户交互减少到最低限度。

网络安全公司 Trellix 的安全研究人员分析了该活动的三种变体（v1a、BPI-MDM 和 v1d），它们均通过跟踪为 OneClikNet 的基于 .NET 的加载程序部署了名为 RunnerBeacon 的“复杂 Go 语言后门”。

据他们介绍，OneClik 活动的每个版本都采用了先进的策略和 C2 混淆、强大的反分析和沙盒逃避技术。

滥用微软的 ClickOnce 部署工具

OneClik 攻击将合法工具与自定义恶意软件以及云和企业工具相结合，这使得攻击者能够逃避安全软件检测。

它首先以一封网络钓鱼电子邮件开始，其中包含一个链接，指向托管在 Azure 生态系统中的虚假硬件分析站点，该站点提供伪装成合法工具的 .APPLICATION 文件（ClickOnce 清单）。

Trellix 研究人员表示，攻击者使用 ClickOnce 应用程序作为恶意负载的传递机制，而不会触发用户帐户控制机制。

ClickOnce 应用程序在部署服务（dfsvc.exe）下启动，使攻击者能够通过这个受信任的主机代理执行恶意负载。

由于 ClickOnce 应用程序以用户级权限运行（不需要用户帐户控制），因此它们为旨在避免权限提升的攻击者提供了一种有吸引力的传递机制。”研究人员解释道。

OneClik 攻击中的感染链，来源：Trellix

执行后，ClickOnce 加载程序通过劫持 .NET 应用程序加载程序集的方式来运行恶意负载，这种技术称为AppDomainManager 注入。

在 OneClik 案例中，这允许攻击者使用合法的 .NET 可执行文件（例如ZSATray.exe、umt.exe或ied.exe）来加载除正常依赖项之外的其他内容。

Trellix 研究人员表示： “加载程序到位后，有效载荷执行将在dfsvc.exe下进行，并与良性的 ClickOnce 活动混合。”

为了更长时间地隐藏操作，攻击者利用合法的 AWS 服务，这使得 C2 通信看起来像是正常的云使用，因为它与无害的 CDN 流量混合在一起。

在 OneClik v1a 变体中，信标连接了 Cloudfront 分发域和 API 网关端点。在 v1d 变体中，它使用 AWS Lambda 函数 URL 作为 HTTP 回调地址。

Trellix 研究人员澄清说：“通过‘隐藏在云中’，攻击者利用了 AWS 的高信任度和可用性：防御者必须解密 SSL 或将整个 AWS 域列入拒绝名单才能注意到这种流量，但这通常是不切实际的。”

基于 Go 的RunnerBeacon 后门

对基于 Golang 的 RunnerBeacon 后门的分析表明，其 C2 协议使用 RC4 流密码算法加密所有流量，并使用 MessagePack 序列化数据。

它具有模块化消息协议，具有多种消息类型，其中包括 BeaconData、FileRequest、CommandRequest、SOCKSRequest 和 FileUpload。

后门使用了一些阻碍分析的方法，研究人员发现了“obfuscate_and_sleep”例程和信标间隔中的随机“抖动”。

研究人员还观察到允许攻击者执行以下操作的高级命令：

• 执行 shell 命令      (CreateProcessW)
• 计算过程
• 运行文件操作（目录列表、上传、下载）
• 执行与网络相关的任务（端口扫描）
• 建立SOCKS5隧道来代理数据流量
• RunnerBeacon的其他功能包括进程注入和权限提升等高级操作。

Trellix 表示，RunnerBeacon 的设计与 Geacon 系列中基于 Go 的 Cobalt Strike 信标类似。

由于命令集的相似性和跨协议 C2 的使用，他们表示“RunnerBeacon 可能是 Geacon 的进化分支或私人修改版本，专为更隐秘、更适合云的操作而设计”。

尽管 OneClik 活动是最近才发现的，但在 3 月初，有人于 2023 年 9 月在中东一家石油和天然气公司发现了 RunnerBeacon 加载程序的变种。

无法确定交付方式，但变体的代码与 OneClik 操作中分析的模块几乎相同。

Trellix 强调，.NET AppDomainManager 注入技术已被用于多起网络攻击中使用。用于部署加密有效载荷的方法也是如此。

Trellix 的报告包含 OneClik 活动中所有组件的综合危害指标列表，包括网络钓鱼诱饵和恶意软件加载程序、配置文件、后门二进制文件、合法可执行文件、域和配置参数。

技术报告：

https://www.trellix.com/blogs/research/oneclik-a-clickonce-based-apt-campaign-targeting-energy-oil-and-gas-infrastructure/

新闻链接：

https://www.bleepingcomputer.com/news/security/oneclik-attacks-use-microsoft-clickonce-and-aws-to-target-energy-sector/