年初一場突發的疫情��,將辦公族們的辦公場地從公司變為家中��,平日面對面的工作交流也都變成了線上溝通�����。在此期間���,云辦公�、云流程實力出圈,強大的遠程協作體驗受到了廣大用戶的極力追捧��。然而“樹大招風”���,隨著云辦公的使用熱度日益高漲�����,黑客組織也皆聞風而來�����,企圖從中大撈一把��。
近期��,360安全大腦就借助全網信息����,感知到有著大量用戶的云辦公軟件明道云,官網下載鏈接慘遭劫持�。當用戶點擊官方網站的下載鏈接后,下載的卻是經過偽裝的木馬安裝包��。經360安全大腦結合用戶被攻擊信息分析�,初步判定這一貍貓換太子的把戲,源于明道云部分下載服務器失陷�。
針對此次“藏毒“事件,360安全大腦第一時間通知明道云�,目前,明道云官網和軟件已恢復安全���,可正常下載使用�。此外���,360安全大腦已獨家攔截該木馬攻擊���,廣大用戶也可盡快下載安裝360安全衛士�����,保護個人數據及財產安全�。
供應鏈攻擊藏“毒”軟件源頭
利用信任輕松獲取大量用戶數據
隨著網絡安全防護技術的完善��,黑客團伙想利用傳統攻擊手段非法獲利���,可謂愈發艱難��。而針對供應鏈發起的網絡攻擊��,則通過利用用戶對于正版軟件供應商的信任���,讓成功率實現幾何式增長;另外�,只要黑客成功攻陷一家軟件供應商,就可以直接獲取大量用戶數據�,尤其當這些用戶是以企業為單位時,足以讓其“要不不開張��,開張吃一年”�����。
經在全網海量歷史數據中進行溯源追查后,360安全大腦發現該黑客團伙至少從2019年5月起就已經開始作案�,主要采取投放釣魚木馬和直接滲透攻擊,并竊取了某些公司的數字證書�����,導致后續散播的木馬程序具有了正規公司的數字簽名��。
在360安全大腦捕獲到該例供應鏈攻擊后����,發現其木馬具有正常公司的數字簽名,乍一看還會誤認為其“出身清白”����。而事實是黑客團伙重打包了明道云2.0.3版本的安裝包,并打上了簽名“西安星空互動軟件開發有限公司”��。
接著雙擊運行木馬安裝包���,360安全大腦還發現安裝目錄多出一個同樣非明道云官方簽名的hid.dll模塊(如下圖所示)�����,除此之外的明道云文件全部正常�����,排查后發現這是針對明道云主程序MingDaoClould.exe的DLL劫持����。而簽名處無奈背鍋的“西安星空互動軟件開發有限公司” 所屬一家制作游戲加速器的公司,很可能是黑客團伙盜用的數字證書��,實與明道云毫無關系�。
360安全大腦還對DLL文件進行了分析,發現其功能主要是判斷用戶的.Net版本之后釋放一個BAT腳本文件(如下圖所示)�,這個腳本首先用C#編譯器編譯生成一個木馬下載器,然后將下載鏈接以參數的方式傳遞給下載去執行����,最后清理現場。
從木馬生成的批處理腳本可以看到它聯網獲取了一個名為logo.png的圖片����,然而實際上這是一個可執行程序�����。
該程序會聯網獲取一個尾部攜帶shellcode的圖片,然后查找桌面進程(“explorer.exe”)并注入執行shellcode�����,其具體功能就是建立一個連接到黑客團伙的后門通道��,等待接收控制指令�����。
新型攻擊手法層出不窮
云辦公安全或將迎來升級挑戰
本著對于木馬病毒的零容忍態度��,360安全大腦不能坐視這種破壞正常軟件信任的事件發生�。根據已有的信息在海量歷史數據中進行溯源檢索顯示,該團伙至少從2019年5月份起就已經開始通過滲透���、釣魚等手法接連作案�。
2019年5月23日����,某企業員工遭到釣魚攻擊,接收了名為“簡歷.exe”的文件后表現出受害者特征����。
該釣魚文件的圖標偽裝成系統文件夾的樣式����,很容易迷惑普通用戶導致中招�,實際上它是一個木馬下載器。(如下圖所示)
2019年9月7日�,某用戶電腦遭到滲透攻擊,后續黑客團伙手工投放木馬下載器“formdl.exe”進行后續攻擊����,該木馬會在內存解密執行聯網獲取的shellcode進行后續攻擊。相關代碼大致如下圖所示�����。
在后續攻擊中還發現了具備正常簽名的木馬程序����,這說明黑客團伙不是第一次盜用他人公司的正版數字證書了,除了“西安星空互動軟件開發有限公司”還盜用“Xiamen Tongbu Networks Ltd.”來簽發惡意程序�,損害數字簽名可信度。
2019年9月16日��,某游戲行業人員遭到釣魚攻擊�,收到了釣魚文件“201909.exe”,行為與上文“簡歷.exe”類似�����。
2019年12月16日��,某金融行業人員的電腦上�����,木馬文件隨系統服務開機啟動���。
2019年12月18日��,某房地產相關人員���,遭受釣魚攻擊。
2020年3月27日���,明道云某客服的電腦中招�����。
2020年4月10日��,明道云某用戶遭遇針對性釣魚攻擊�,用戶啟動了釣魚文件之后,黑客會查找明道云的安裝目錄并釋放文件“version.dll”到其根目錄下�。
文件“version.dll”會對明道云的主程序形成DLL劫持,每當用戶啟動明道云的時候就會隨之加載執行����,它的具體功能是和前文的“hid.dll”一樣最終注入桌面留下后門。
2020年4月27-28日��,明道云官網下載鏈接被劫持�����,多例用戶電腦被感染�����。
與明道云官方溝通后�,360安全大腦認為,2020年發生的這三起攻擊并沒有發現直接聯系��。
從追蹤溯源得到的信息不難看出�,這個黑客團伙一開始并沒有什么具體的目標,受害者涉及各行各業���,各個受害者之間明顯都沒什么關系��,但是此次針對明道云的攻擊持續了一個多月��,與之前打一槍換一個地方的風格相比發生了很大的變化�����。
對此�,360安全大腦在整合后進行了關聯與分析�����,發現這與明道云的獨特屬性關系密切�。
1、高性能服務器能獲得“高回報“
明道云的服務對象主要是企業用戶��,而企業的高性能服務器對于黑客團伙來說一直都很有吸引力�。
2、藏毒開發源頭實現火速蔓延
其次則是明道云的軟件特點����,明道云作為一個生產力工具,普通業務人員就能進行開發��,門檻低���,開發數量多��,帶著病毒的新模塊快速形成二次擴散攻擊���。
基于以上兩點����,不難看出黑客團伙認為明道云完全值得他們花費更多的時間和精力去攻擊并挖掘潛在價值��。
由此可見�����,隨著各類云辦公軟件逐漸成為辦公族們的工作首選����,隨之而來的網絡安全問題也將如同雨后春筍般,油然而生����。但360安全大腦通過多種技術手段防御和發現最新木馬病毒,且已率先實現對該類木馬的查殺�,為避免此類攻擊的感染態勢進一步擴大,360安全大腦建議:
1、及時前往360官網下載安裝360安全衛士��,可有效攔截查殺各類木馬病毒;
2����、對于安全軟件提示風險的程序,切勿輕易添加信任或退出殺軟運行;
3���、使用360軟件管家下載軟件,360軟件管家收錄萬款正版軟件���,經過360安全大腦白名單檢測����,下載���、安裝�����、升級��,更安全��。
京公網安備 11010502041587號