【入侵新趨勢】Bluebottle借用已驗證驅動程式 癱瘓安全工具運作

    網絡安全公司Symantec最新捕獲一個網絡犯罪組織 Bluebottle,他們使用的入侵方式,跟另一個組織 OPERA1ER 有很多相似之處,但就更進一步利用一個已獲 Windows 安全驗證的驅動程式,以最高的核心權限,癱瘓電腦內的安全工具偵測,這類手法更與近期其他入侵攻擊的手法相若,相信已成為新趨勢。

    有關 OPERA1ER 犯罪組織的入侵方式,網絡安全公司 Group-IB 早於去年 11 月,已發表詳盡研究報告。研究員指,他們是由一班懂得法語的成員組成,主要攻擊非洲地區銀行客戶。2018 年至 2020 年間,OPERA1ER 至少成功發動 35 次攻擊,獲得數以百萬計款項。

    至於 Symantec 捕獲的 Bluebottle 組織,在攻擊方式以至所使用的惡意軟件上,都與 OPERA1ER 非常類似,例如雙方都沒有研發自己的惡意軟件,都是只採用開源工具,而且大家也是攻擊法語系地區,Bluebottle 更已賺取過千萬美元款項。

    從 Symantec 發表的技術報告顯示,Bluebottle 的惡意軟件分為兩部分,首先是一個名為 GuLoader 的惡意工具,會使用 DLL 動態連結程式庫,讀取 Windows 電腦系統內的執行程序,另一部分的已驗證驅動程式,則會根據第一階段收集到的資料,以最高權限暫停目標電腦設備內正運行的網絡安全工具,讓黑客可在系統內,安裝用於竊取電腦內資料的 Mimikatz、keylogger 等惡意軟件,從而達成入侵程序。

    研究員又指出,部分攻擊亦使用了 ISO disk image 作為感染方式,黑客透過向目標人士發送與招聘有關的釣魚電郵,如對方不慎打開了附件的 ISO 檔案,惡意軟件便可掛載為虛擬硬碟,再繼續執行入侵程式。

    最值得注意的一點是,黑客在入侵時大量使用了電腦系統內的工具及功能,例如用於檢查網絡連線的 ping、用於建立 reverse proxy 外部連結功能的 Ngrok、具備建立外部連線的 Fortinet VPN client、用於搜尋內部網絡其他設備的 Net localgroup、容許家庭版電腦使用遠端桌面遙距控制的 RDP wapper 等等,這種做法的好處,是可讓入侵行為變得正常化,亦可減少匯入惡意編碼時被偵測的風險。

    研究員又指出,這次入侵過程所使用的驅動程式,並非 Bluebottle 獨有,因有證據顯示,其他網絡犯罪組識亦使用相同的驅動程式,例如早前我們便曾報道有黑客組織利用了 Microsoft Windows Hardware Developer 計劃內的已驗證驅動程式,專家估計,這種入侵手法已日漸普及,而且因暗網有犯罪集團會出售這類開發者證書及驗證驅動程式,因此相信會愈來愈多,建議企業 IT 部門應多加注意這種入侵手法。

    這次發現的驅動程式,則由中國一間叫作 Zhuhai Liancheng Technology 所簽發,但黑客集團從何途徑取得就不得而知。

    資料來源:https://www.zdnet.com/article/ransomware-decryption-tool-victims-of-megacortex-can-now-unlock-their-files-for-free/

    相關文章:【驗證漏洞】Microsoft安全證書不可信 加料驅動程式輕易取得最高權限

    #Bluebottle #CyberSecurity #Symantec #Windows安全驗證 #網絡安全

    相關文章