繞過Mark-of-the-Web的APT攻擊

道高一呎,魔高一丈,APT組織BlueNoroff找到方法能夠繞過Mark-of-the-Web機制,藉此能夠化解Microsoft Office打開網絡文件時的保護模式,如果盲目地倚賴這個警告機制將可能掉入黑客的攻擊陷阱。

繞過MOTW機制

Mark-of-the-Web機制會在用戶或程式從網絡下載檔案時,NTFS檔案系統對檔案附加「from the internet」屬性,儘管下載壓縮檔時內裡的檔案全部都會取得屬性,但這並非對所有情況都適用。BlueNoroff背後的攻擊者開始實驗使用新檔案種類去傳送惡意文件,有些情況他們使用.iso格式(通常用於儲存光碟鏡像),其次是,vhd檔案,通常含有虛擬硬盤,換言之,攻擊者把惡意腳本和相關檔案放入鏡像或虛擬硬盤內,詳細資料可以參考Securelist

BlueNoroff的目標

在今年初Kaspersky的研究人員已發現BlueNoroff的SnatchCrypto活動,根據觀察該組織以謀利為大前提,而攻擊的最後階段則沒有不同,犯罪份子在被感染電腦內安裝後門程式。BlueBoroff註冊了很多模仿風投資和投資公司的域名,甚至是大型銀行,從攻擊者使用的銀行名稱和文件,可以判定他們現時首要目標是日語系人士,但至少一名受害者位於UAE,BlueNoroff最感興趣的是加密貨幣和金融公司。

避免成為受害者

首先要認清楚OS預設的防護機制並不足以保護公司安全,Mark-of-the-Web機制不能防護員工打開從互聯網的檔案和執行惡意腳本,為免公司成為BlueNoroff或類似的APT攻擊,Kaspersky的專家建議:

  • 在所有工作裝置安裝現代的保安方案,可以防止從惡意檔案執行腳本。
  • 為員工提供合適的培訓以保持現代網絡威脅的防範意識
  • 使用EDR級別的保安方案,時刻偵測公司網絡內的惡意活動,有助在真實傷害發生前制止攻擊。

資料來源:Kaspersky Blog