密碼管理工具KeePass因為開源的關係,攻擊者對它進行複製並沒有困難,並且進行修改,加入惡意功能,再配合假網站,當有公司員工誤墮陷阱,下載並信以為真,結果引發資料盜竊和加密的事故。
假KeePass的作用
假KeePass的惡意活動由2024年中開始活躍了大約8個月,攻擊者設立了假網站冒充KeePass的官方網站,並使用惡意的廣告引導搜尋KeePass到假網域keeppawrd、keebass和KeePass-download。如果受害者從假網站下載和安裝,密碼管理員的工能會正常運作,但它同時儲存所有密碼到一個非加密文字檔案上,並且在系統安裝Cobalt Strike,這工具可以評估機構的安全性,以及用來進行實際網絡攻擊。
透過Cobalt Strike,攻擊者不但能盜竊密碼,也能夠入侵其他系統和最終對機構的ESXi伺服器加密。研究人員在追蹤這個攻擊活動時,發現5種不同的木馬化KeePass修改版,部份比較簡單,會立即上載盜竊的密碼到攻擊者的伺服器。
高隱蔽惡意程式
通過合法軟件加入惡意程式的手法並非新事物,不過通常攻擊者只是簡單地把惡意檔案加到安裝包內,所以(現代)的保安方案通常能夠軟易偵測到,假KeePass攻擊就更加小心地計劃和逃避保安工具。所有安裝包都有有效數碼簽署,所以並不會引發Windows的警報,5個不同版本由4家不同軟件公司簽發,而真KeePass則是由不同的公司發出,不過很少人會進行檢查。
木馬功能也隱藏在應用程式的核心邏輯內,只會在用戶打開密碼數據庫時執行,這意味著應用程式首先會正常開啟,提示用戶選擇數據庫和輸入主密碼,之後才開始進行保安機制可能認為可疑的活動,使沙盒和其他偵測異常行為的分析工具更難發現攻擊。
KeePass並非唯一
在調查惡意網站散播木馬版本KeePass時,研究人員發現相關網站架設在相同域名,這網站宣傳另一款合法軟件,包括安全檔案管理工具WinSCP和多款加密貨幣工具,修改範圍較小,只是在受害者系統上安裝已知的Nitrogen Loader惡意程式。這顯示木馬化的KeePass是由初次存取代理人所創建,犯罪份子盜竊密碼和其他機密資料,找出進入企業電腦網絡的切入點,再出隻存取權限出售給其他犯罪份子,通常是加密勒索集團。
沒有特定目標
散播盜竊密碼惡意程式不分地域針對任何沒有防備的用戶,犯罪份子分析任何密碼、金融資料或其他有價值的資訊,分門別類再出售給其他有需要的犯罪份子進行其他地下活動,加密勒索組給購入公司網絡憑證,騙徒購買個人資料和銀行卡號碼,濫發者則收購社交媒體和遊戲帳號的登入資料。所以盜竊資料販子千方百計散播他們的惡意程式去收集資料,木馬程式能夠隱藏在任何種類的軟件,從遊戲至密碼管理工具,甚至專門為會計和建築師而設的應用程式。
家用電腦的防禦工作
對一般家用用家而言,從官方網站或主要應用程式商店下載是保護自己的第一步,其次是注意數碼簽署,在啟動第一次下載的程式時,Windows會警告並且在Publisher展示數碼簽署的持有者名字,確保符合真正開發者的資料,如果有疑惑便到官方網站檢查資料。其次是小心搜尋時的廣告,在搜索應用程式的名字時,小心注意頭4到5個結果,但要無視廣告,開發者的官方網站應該就在結果裡,如果不確定哪個結個是官方網站,最佳方法是透過主要應用程式商店或維基百科進行複檢。
在電腦和智能手機上安裝可靠的保安方案同樣重要,可以避免遇大部份惡意程式感染,甚至截停正在瀏覽的危險網站。對於密碼管理工具,用戶也無需過於懼怕,以加密形式儲存資料更為重要。
機構的防護工作
犯罪份子利用合法的憑證發動攻擊是最常見的策略,為了令資料帳號更難被盜竊,應該特別防範能夠讓攻擊者直接存取網絡的木馬化程式:
- 使用應用程式允許清單限制下載和執行未受信任的軟件,合適的白名單可基於「來自特定供應商的應用程式」和具有特定憑證簽署的應用程式。
- 採用集中式監察和回應方案,包括在所有工作台和伺服器上安裝endpoint detection and response(EDR)偵測器,並使用SIEM或XDR方案分析資料。
- 擴大僱員培訓,除了警惕網絡釣魚,辨別假軟件、惡意廣告和其他社交工程技術同樣重要。
資料來源:Kaspersky Blog
