微软(Microsoft)周二发布警告,称一项从2月下旬开始的多阶段网络攻击正利用WhatsApp消息向用户分发恶意微软安装程序(MSI)包。攻击者通过该手段获取受害机器的控制权,从而能够访问所有敏感数据。此次攻击链条始于一条包含恶意Visual Basic脚本(VBS)文件的消息。
利用“离地攻击”规避安全检测
根据微软研究人员的分析,攻击者在执行脚本后会在系统路径中创建隐藏文件夹,并将合法的Windows实用程序重命名。例如,攻击者将curl.exe重命名为netapi.dll,将bitsadmin.exe重命名为sc.exe。这种利用合法系统工具进行恶意活动的手法被称为“离地攻击”(Living off the Land),旨在使攻击行为与正常的网络活动相融合。
然而,攻击者在重命名二进制文件时留下了漏洞。微软在周二的博客中指出,这些文件保留了原始的可执行文件(PE)元数据,包括OriginalFileName字段。
"这意味着Microsoft Defender和其他安全解决方案可以利用这种元数据不一致作为检测信号,标记文件名与嵌入的原始文件名不匹配的情况," 微软研究人员写道。
从云服务下载至远程控制
攻击者利用这些重命名的二进制文件,从AWS、腾讯云(Tencent Cloud)和Backblaze B2等受信云服务下载二级VBS负载。这种策略进一步增加了安全团队区分企业正常活动与恶意下载的难度。随后,恶意软件会尝试修改用户账户控制(UAC)设置,以提升权限确保在系统重启后依然能够运行。
在攻击的最终阶段,黑客部署了名为Setup.msi、WinRAR.msi、LinkPoint.msi和AnyDesk.msi的恶意安装包。值得注意的是,攻击者使用了AnyDesk等真实远程桌面工具而非自定义恶意软件,以在系统中“隐身”。由于这些安装包均未经过数字签名,这成为了防御者识别其为恶意软件的关键指标。
企业社会工程学防御的紧迫性
此次攻击凸显了社会工程学在现代网络威胁中的核心地位。攻击者可能通过接管已有的WhatsApp会话,使消息看起来像是来自受害者的熟人,或者利用紧迫感诱导用户快速打开文件。这种针对心理弱点的攻击方式,使得传统的纯技术防御手段在面对人类操作失误时显得力不从心。
相比早期的简单钓鱼邮件,当前的攻击趋势正转向加密通信平台,因为这些平台通常被用户视为更安全、更私密的信任区域。这种信任的滥用导致企业内部员工更容易在不经意间触发恶意代码,从而给整个公司网络带来极高的安全风险。
微软建议企业加强员工培训,提高对可疑附件和意外消息的识别能力。专家指出,即使是在熟悉的社交平台上,也应保持警惕。未来,随着攻击者更频繁地利用受信云基础设施,企业可能需要部署更严格的零信任架构,以限制未经授权的二进制文件执行。