針對今年年初開始出現(xiàn)的BazaCall釣魚郵件攻擊行動，微軟披露了詳細(xì)的攻擊流程，并指出攻擊者可能會在受害電腦網(wǎng)絡(luò)傳播勒索軟件Conti或Ryuk。

　　微軟安全情報團(tuán)隊在6月23日發(fā)布警告稱，利用電話客服傳播惡意軟件BazaCall（又名BazarCall）的釣魚郵件攻擊行動，攻擊者的目標(biāo)疑似是Office 365用戶，會在受害電腦中植入勒索軟件。當(dāng)時對于攻擊行動的細(xì)節(jié)說明相當(dāng)有限，僅提及大致的攻擊流程，及攻擊者會人為操作并植入勒索軟件，過程中會使用Cobalt Strike等信息。直到7月29日，微軟公布了新的調(diào)查結(jié)果，披露了此類攻擊的完整流程，以及作為誘餌的釣魚郵件如何躲避郵件防護(hù)系統(tǒng)偵測，以及入侵受害者電腦之后，將會利用多種合法工具攻擊整個企業(yè)網(wǎng)域，并對于網(wǎng)絡(luò)設(shè)備植入特定勒索軟件等細(xì)節(jié)。同時，微軟也針對BazaCall各攻擊階段的威脅獵捕，提供了進(jìn)階威脅查詢指令。

　　對于BazaCall的攻擊手法，微軟表示，攻擊者會在受害環(huán)境的網(wǎng)絡(luò)環(huán)境快速移動，泄露大量資料并竊取賬戶密碼，然后在成功入侵后的48個小時內(nèi)，植入勒索軟件Conti或Ryuk。

　　圖1 典型的BazaCall攻擊流程：從垃圾郵件到社會工程，再到下載有效負(fù)載及手動鍵盤攻擊

　　在持續(xù)調(diào)查后，微軟發(fā)現(xiàn)，在BazaCall的攻擊過程里，黑客利用社會工程和人為操控的方式，不像一般惡意軟件所采用的自動化攻擊策略，從而更容易逃過安全防護(hù)系統(tǒng)的檢測。微軟認(rèn)為，BazaCall的這種策略比起目前已被公開的情況還要危險，因此決定要披露相關(guān)細(xì)節(jié)。

　　這種利用客服電話的攻擊手法，攻擊者先是發(fā)送釣魚郵件，郵件內(nèi)容是偽裝成收件人訂閱的網(wǎng)絡(luò)或軟件服務(wù)試用到期，接下來將會收取高額的訂閱費用，而使得被害人心生恐懼，按照郵件指示撥打“客服專線”，來取消有關(guān)服務(wù)。但實際上，這個由攻擊者安排的“客服”，會指示上鉤的受害者下載帶有宏的Excel文檔，一旦這個文檔被開啟，就會在受害電腦植入BazaLoader惡意程序，并建立C2中繼站的連線，來進(jìn)行后續(xù)的攻擊行動。

　　微軟曾經(jīng)提及這種釣魚郵件缺乏可被識別的元素，而使得一般郵件防護(hù)系統(tǒng)可能難以察覺異常狀態(tài)。BazaCall的釣魚郵件沒有夾帶附件或是URL鏈接，而這些正是郵件防護(hù)系統(tǒng)判別郵件內(nèi)容是否可能有害的依據(jù)之一。

　　而為了讓收件人會撥打電話給“客服”，攻擊者也制造出以假亂真的氛圍。例如，攻擊者在每一波的釣魚郵件都會使用不同的服務(wù)訂閱名義，例如照片編輯服務(wù)或是烹飪交流網(wǎng)站的會員資格，但相同的都是宣稱服務(wù)訂閱將要到期。微軟指出，攻擊者疑似為了增加收件人撥打電話的意愿，在最近一次的BazaCall攻擊行動中，釣魚郵件內(nèi)容改為購買軟件授權(quán)的收據(jù)確認(rèn)郵件。

　　圖2 典型的BazaCall電子郵件：聲稱用戶的照片編輯服務(wù)試用期即將到期，將自動收取費用，并提供虛假的客戶服務(wù)號碼以幫助取消訂閱。

　　BazaCall攻擊者以收件人購買了知名解壓縮軟件WinRAR的名義，發(fā)送訂購成功的通知郵件，在這封郵件中聲稱收件人購買了20臺電腦授權(quán)，價值320美元，有2個星期時間可以撥打郵件里隨附的“客服專線”取消購買。要是收件人撥打了這個專線電話，“客服人員”就會指示下載惡意Excel文檔進(jìn)行后續(xù)攻擊行動。

　　微軟指出，為了規(guī)避郵件防護(hù)系統(tǒng)通過發(fā)件人黑名單的過濾方式，每封BazaCall郵件都是由不同的發(fā)件人發(fā)出，而這些發(fā)件人的電子郵件地址，有可能是被盜用的，或是免費的電子郵件地址。為了讓收件人相信郵件來自真實的公司郵箱，發(fā)件人也會謊稱是來自與真實企業(yè)相似名稱的公司，即使收件人通過網(wǎng)絡(luò)搜索進(jìn)行確認(rèn)，還是有可能會上當(dāng)。因為，攻擊者還架設(shè)了以假亂真的“官方網(wǎng)站”。

　　究竟這些釣魚郵件，與真實的購買網(wǎng)絡(luò)服務(wù)或是軟件授權(quán)通知郵件有多么相似？微軟表示，大部分的BazaCall郵件都會顯示用戶ID，而使得收收件人誤以為自己真的是他們的用戶。但實際上，這組ID不只是用來欺騙收件人，還是攻擊者追蹤受害者的識別碼。

　　一旦收件人依照指示打電話給“客服”，并下載了宣稱是取消訂閱所需填寫的Excel表格，BazaCall的客服還從中下了指導(dǎo)棋。微軟發(fā)現(xiàn)，有些使用者會繞過SmartScreen等過濾機制，來下載他們已經(jīng)標(biāo)示有問題的惡意文檔，這代表“客服人員”很可能從中指示要如何操作，并威脅如果不照做的話，信用卡就會被扣款。此外，“客服人員”也會要求使用者在開啟上述Excel文檔后，啟用宏功能。

　　這個Excel的宏一旦被觸發(fā)后，便會采用Living Off-the-Land的手法，復(fù)制Windows系統(tǒng)里的certutil.exe，并利用這個副本下載BazaLoader，這是惡意動態(tài)鏈接庫（DLL），由rundll32.exe加載。然后rundll32注入合法的MsEdge.exe進(jìn)程，以連接到BazaLoader命令和控制（C2），并通過使用Edge創(chuàng)建一個。lnk（快捷方式）文件到Startup文件夾中的有效負(fù)載來建立持久性。注入的MsEdge.exe還用于偵察、收集系統(tǒng)和用戶信息、網(wǎng)絡(luò)上的域以及域信任等。

　　而為了能讓攻擊者能遠(yuǎn)程手動控制，以及找尋網(wǎng)域管理員賬號等信息，此時rundll32.exe會下載滲透測試工具Cobalt Strike。通過直接訪問，攻擊者對網(wǎng)絡(luò)進(jìn)行偵察并搜索本地管理員和高權(quán)限域管理員賬戶信息。

　　攻擊者還使用ADFind進(jìn)行進(jìn)一步廣泛的偵察，ADFind是一種專為Active Directory發(fā)現(xiàn)而設(shè)計的免費命令行工具。通常，從偵察中收集的信息會保存到一個文本文件中，并由攻擊者使用命令提示符中的“Type”命令進(jìn)行查看。

　　一旦攻擊者在網(wǎng)絡(luò)上建立了目標(biāo)設(shè)備列表，就會使用Cobalt Strike的自定義內(nèi)置PsExec功能橫向移動到目標(biāo)。攻擊者登陸的每臺設(shè)備都會與Cobalt Strike C2服務(wù)器建立連接。此外，某些設(shè)備通過下載旨在竊取瀏覽器密碼的開源工具來進(jìn)行額外的偵察。在某些情況下，攻擊者還使用WMIC橫向移動到高價值目標(biāo)，例如域控制器。

　　一旦攻擊者發(fā)現(xiàn)具有高價值的目標(biāo)，他們會使用7-Zip打包資料，并利用開源工具RClone的重命名版本將這些檔案泄露到攻擊者控制的域中。在域控制器設(shè)備上，攻擊者使用NTDSUtil.exe在%programdata%或%temp%中創(chuàng)建NTDS.dit Active Directory數(shù)據(jù)庫副本文件夾，用于后續(xù)滲漏。NTDSUtil是一種通常用于創(chuàng)建和維護(hù)Active Directory數(shù)據(jù)庫的合法工具，NTDS.dit包含域中所有用戶的用戶信息和密碼哈希。

　　圖3 入侵攻擊目標(biāo)后的活動，包括滲透及勒索軟件

　　微軟發(fā)現(xiàn)，數(shù)據(jù)泄露是BazaCall攻擊的主要目的，但攻擊者也會在上述活動完成后在網(wǎng)絡(luò)中部署勒索軟件。攻擊者使用高權(quán)限受損賬戶，結(jié)合Cobalt Strike的PsExec功能，將Ryuk或Conti勒索軟件有效載荷植入到網(wǎng)絡(luò)設(shè)備上。

　　盡管許多網(wǎng)絡(luò)安全威脅依賴于自動操控戰(zhàn)術(shù)，例如，利用系統(tǒng)漏洞投放惡意軟件、破壞合法網(wǎng)站進(jìn)行水坑攻擊，或開發(fā)先進(jìn)的檢測規(guī)避方法，但攻擊者繼續(xù)在攻擊中發(fā)現(xiàn)社會工程和人機交互方面獲得成功。BazaCall活動將發(fā)送的電子郵件中的鏈接和附件替換為電話號碼，這給檢測帶來了挑戰(zhàn)，特別是通過傳統(tǒng)的反垃圾郵件和反釣魚解決方案來檢查這些惡意指標(biāo)。

　　BazaCall的電子郵件中缺乏典型的惡意元素，而且其運營商能夠以極快的速度進(jìn)行攻擊，這說明了當(dāng)今企業(yè)面臨的威脅也越來越復(fù)雜，越來越難以避免。