APP下载

中国骇客GhostEmperor利用ProxyLogon漏洞,在受害电脑植入蠕虫Demodex

消息来源:baojiabao.com 作者: 发布时间:2024-11-27

报价宝综合消息中国骇客GhostEmperor利用ProxyLogon漏洞,在受害电脑植入蠕虫Demodex
图片来源: 

卡巴斯基

自Exchange Server重大漏洞“ProxyLogon”被揭露之后,陆续传出有骇客组织利用这个系列漏洞,入侵并发动攻击。例如,日前ESET揭露名为FamousSparrow的网络间谍组织,便于微软推出漏洞修补程式的隔日(3月3日),开始锁定具有这项漏洞的Exchange Server,对于饭店业者植入后门程式。

有鉴于这种利用ProxyLogon漏洞发动攻击的现象升温,引起不少资安人员相关切,并于近期公布研究结果。例如,卡巴斯基先在7月提及名为GhostEmperor的中国骇客组织,并于9月30日揭露该组织的攻击手法细节。

卡巴斯基根据骇客所使用的工具,研判GhostEmperor至少于2020年7月就开始活动,于受害组织植入Demodex蠕虫程式以进行监控,他们主要目标是东南亚的国家,但除此之外,研究人员也看到在埃及、阿富汗、埃塞俄比亚等多个国家,有数个-实体与电信公司遭到攻击。研究人员认为,骇客的技术相当高超,因为他们作案的手法极不寻常,且包含了反鉴识与反分析的技术。

锁定可从互联网存取的网页应用程序

对于这个组织入侵攻击目标的管道,卡巴斯基提及骇客找寻曝露在互联网的服务器下手,攻击者植入恶意工具的方式,是透过应用程序服务器的处理程序──包含了Apache服务器的HTTP.exe、IIS服务器的W3WP.exe,以及Orcale服务器的OC4J.jar等。研究人员认为,攻击者应该是运用这些网页应用程序的漏洞,而能够使用上述的处理程序来夹带并执行恶意程式。

而在锁定上述网页应用程序服务器之外,攻击者较为近期锁定的目标,便是存在ProxyLogon漏洞的Exchange Server。卡巴斯基指出,GhostEmperor在3月4日时(即微软发布修补程式2日后)运用这项漏洞,来感染一台Exchange Server,进而达到执行RCE攻击的目的。

多采用操作系统内建工具来掩盖攻击意图

究竟攻击者如何入侵受害的网页应用服务器呢?卡巴斯基指出,通常GhostEmperor会透过BAT指令码来启动相关流程,但他们也看到运用Windows内建的防毒软件(Microsoft Defender),借由其中的命令列执行工具MpCmdRun.exe,来侧载恶意DLL档案,同时攻击者借着这个DLL档案,来侧载license.rtf,虽然从副档名的部分来看应该是RTF文件,但卡巴斯基表示,这实际上是可执行档案。

除了上述借由内建防毒软件档案来侧载的情况,卡巴斯基指出,他们还看到GhostEmperor滥用其他的合法工具,像是WMI或是PsExec等,来横向感染内部网络的其他电脑,来部署Demodex。

在成功潜入受害电脑并下载作案工具后,骇客为了避免攻击行为被发现,研究人员看到攻击者不只使用混淆等规避手法,也使用Cheat Engine里面的驱动程式dbk64.sys,来绕过操作系统的驱动程式强制签章机制,让Demodex不致遭到封锁。

附带一提的是,卡巴斯基指出,对于执行最新版Windows 10操作系统的电脑,攻击者也特别针对这个操作系统加入相关程式码,而能让蠕虫程式持续在这些电脑上运作。

2021-10-04 17:54:00

相关文章