北京
代號為Storm-0249的初始訪問中間人,正通過濫用終端檢測與響應解決方案及受信任的微軟Windows系統工具,實現惡意軟件加載、通信鏈路建立與持久化駐留,為后續勒索軟件攻擊預先部署環境。
Storm-0249已摒棄大規模釣魚攻擊手段,轉而采用更隱蔽、更高級的攻擊方法。這些方法不僅攻擊效果顯著,且即便相關攻擊路徑已有詳細公開文檔,防御方依舊難以有效應對。
研究人員在分析一起攻擊事件時發現,Storm-0249借助SentinelOne EDR組件的特性隱藏惡意活動。這一攻擊手法同樣適用于其他品牌的EDR產品。
對SentinelOne EDR的濫用手段
Storm-0249的攻擊始于ClickFix社會工程學騙局,誘導用戶在Windows運行對話框中粘貼并執行curl命令,以系統權限(SYSTEM)下載惡意MSI安裝包。
與此同時,攻擊者還會從偽造的微軟域名中獲取惡意PowerShell腳本,該腳本會被直接載入系統內存,全程不寫入磁盤,以此規避殺毒軟件的檢測。
惡意MSI文件會釋放一個名為SentinelAgentCore.dll的惡意動態鏈接庫文件。研究人員表示:“攻擊者將該惡意DLL文件特意放置在受害終端已安裝的、合法的SentinelOne EDR組件程序SentinelAgentWorker.exe所在目錄下。”
隨后,攻擊者通過已簽名的SentinelAgentWorker程序加載該惡意DLL(即DLL側加載技術),讓惡意代碼在受信任的高權限EDR進程中執行,進而實現可抵御系統更新的隱蔽持久化駐留。
ReliaQuest解釋道:“由合法進程全權執行攻擊者的惡意代碼,其行為在安全工具看來與常規SentinelOne組件活動無異,從而繞過檢測機制。”
簽署的可執行文件側載惡意DLL
攻擊者獲取目標設備訪問權限后,會借助SentinelOne組件,通過reg.exe、findstr.exe等Windows合法工具收集系統標識信息,并以加密HTTPS流量的形式傳輸命令與控制數據。
正常情況下,注冊表查詢與字符串檢索這類操作會觸發安全警報,但當操作源于受信任的EDR進程時,安全機制會將其判定為常規行為并忽略。
攻擊者會利用MachineGuid(一種基于硬件的唯一標識符)對受入侵系統進行畫像。LockBit、ALPHV等勒索軟件團伙常利用該標識符將加密密鑰與特定受害對象進行綁定。
這一特征表明,Storm-0249開展的初始訪問入侵活動,是根據其主要客戶(即勒索軟件附屬團伙)的需求量身定制的。
對受信任的已簽名EDR進程的濫用,可繞過幾乎所有傳統監控手段。研究人員建議系統管理員采用基于行為的檢測機制,重點識別受信任進程從非標準路徑加載未簽名DLL文件的異常行為。此外,加強對curl、PowerShell及各類二進制文件的執行權限管控,也有助于提升防御效果。
參考及來源:https://www.bleepingcomputer.com/news/security/ransomware-iab-abuses-edr-for-stealthy-malware-execution/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
