微软(Microsoft)于周二发布安全警告,披露了一场始于2月下旬的复杂网络攻击活动。攻击者利用 WhatsApp 发送恶意消息,诱导用户执行视觉基本脚本(VBS)文件,最终通过安装恶意的 MSI安装包 实现对受害者计算机的远程控制并窃取数据。
伪装合法工具的“离地攻击”策略
根据 The Register 报道,此次攻击的核心在于采用“离地攻击”(Living off the Land)技术,即利用系统自带的合法工具执行恶意操作。攻击脚本会在 `C:\ProgramData` 目录下创建隐藏文件夹,并将 `curl.exe` 和 `bitsadmin.exe` 等合法 Windows 工具重命名为 `netapi.dll` 和 `sc.exe`,以混淆网络活动记录。
然而,微软的研究人员发现攻击者在重命名过程中留下了漏洞。由于这些二进制文件保留了原始的 PE(可移植可执行文件)元数据,其 `OriginalFileName` 字段仍显示为原名。
"这意味着 Microsoft Defender 和其他安全解决方案可以利用这种元数据不一致作为检测信号,标记文件名与其嵌入的原始文件名不匹配的情况," 微软在周二的博客文章中写道。
跨云服务分发与权限提升
攻击者利用重命名的工具从 AWS、腾讯云(Tencent Cloud)和 Backblaze B2 等可信云服务下载二级 VBS 负载。这种做法进一步增加了防御者区分正常企业网络活动与恶意下载的难度。
在获取初步权限后,恶意软件会尝试修改用户账户控制(UAC)设置,试图以提升的权限启动 `cmd.exe`。一旦成功,恶意软件将在系统重启后依然能够运行,从而确保攻击的持久性。
最后,攻击者部署名为 `Setup.msi`、`WinRAR.msi` 和 `AnyDesk.msi` 的安装程序。值得注意的是,其中部分使用了 AnyDesk 等真实远程桌面工具而非自定义恶意软件,旨在通过“隐藏在明处”的方式规避检测,但这些安装包均未经过数字签名。
企业社交工程防御的挑战
此次事件凸显了社交工程攻击在企业环境中的高风险,尤其是当攻击者利用被盗的 WhatsApp 会话使消息看起来来自已知联系人时。这种信任关系的滥用使得传统的防火墙和杀毒软件难以在第一时间拦截初始入侵。
与以往单纯的钓鱼邮件相比,通过即时通讯软件传播的攻击具有更高的点击率和更强的欺骗性。这要求企业将安全防御重心从纯技术手段转向人员培训,以应对日益复杂的社会工程学手段。
"培训员工识别可疑的 WhatsApp 附件和意外消息,强化即使是熟悉的平台也可能被利用来传递恶意软件的意识," 微软建议道。
全球网络安全态势的深层影响
此次攻击表明,网络犯罪分子正越来越多地将合法云基础设施与开源远程管理工具相结合,以构建低可见度的攻击链。这种趋势将迫使全球企业重新评估其端点检测与响应(EDR)策略,不再仅仅依赖于文件签名的黑名单。
未来,安全专家预计此类攻击将更多地针对拉丁美洲和亚洲等 WhatsApp 使用率极高的地区。企业需密切关注未签名 MSI 包的执行记录,并加强对非传统通信渠道进入企业内网的监控。