1??????? 概覽

近期，安天CERT監(jiān)測(cè)到通過(guò)鏡像下載站傳播的攻擊活動(dòng)。攻擊者將Torrent資源投放至Windows操作系統(tǒng)鏡像下載站中，誘導(dǎo)用戶安裝使用看似純凈的系統(tǒng)。實(shí)際上，攻擊者事先將惡意文件隱藏于指定路徑中，通過(guò)計(jì)劃任務(wù)實(shí)現(xiàn)自啟動(dòng)，并利用EFI系統(tǒng)分區(qū)規(guī)避安全產(chǎn)品的檢測(cè)，最終執(zhí)行剪貼板劫持器以盜取加密貨幣。

EFI系統(tǒng)分區(qū)中包含操作系統(tǒng)的引導(dǎo)加載程序及相關(guān)文件，該分區(qū)在Windows系統(tǒng)中一般是不可見(jiàn)的，且安全產(chǎn)品通常不會(huì)對(duì)EFI分區(qū)中的文件進(jìn)行掃描。在此次攻擊活動(dòng)中，攻擊者利用惡意軟件掛載EFI系統(tǒng)分區(qū)并將其余惡意文件復(fù)制到該分區(qū)中，以此規(guī)避安全產(chǎn)品的檢測(cè)。

攻擊者可以隱蔽地將惡意軟件植入系統(tǒng)中，將其封裝成鏡像文件投放至各種下載站中。用戶應(yīng)提高安全意識(shí)，避免從非官方途徑獲取系統(tǒng)鏡像資源，看似安全的免費(fèi)資源中可能存在安全隱患。?

表 1?1 攻擊活動(dòng)概覽

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱IEP）可實(shí)現(xiàn)對(duì)惡意軟件的有效查殺。

2??????? 技術(shù)梳理

攻擊者將Torrent資源投放至系統(tǒng)鏡像下載站中，誘導(dǎo)用戶下載、使用被惡意篡改的系統(tǒng)鏡像。此類網(wǎng)站提供大量Windows操作系統(tǒng)的免費(fèi)鏡像資源，其中很有可能混入被惡意篡改的鏡像。

? ? ? ? ? ? ? ? ? ? ?

攻擊者事先將惡意程序放至%SystemRoot%\Installer中，并創(chuàng)建相應(yīng)的計(jì)劃任務(wù)。當(dāng)用戶使用被惡意篡改的鏡像安裝Windows操作系統(tǒng)后，iscsicli.exe通過(guò)計(jì)劃任務(wù)進(jìn)行自啟動(dòng)，掛載EFI系統(tǒng)分區(qū)并將其余惡意文件復(fù)制到該分區(qū)中，以此規(guī)避安全產(chǎn)品的檢測(cè)。該惡意程序最終注入惡意DLL，持續(xù)監(jiān)控剪貼板中的內(nèi)容，當(dāng)匹配到加密貨幣錢包地址時(shí)將其替換為攻擊者的錢包地址，從而將收益轉(zhuǎn)移至攻擊者賬戶中。

3??????? 樣本分析

3.1??????? iscsicli.exe

該惡意程序偽裝成操作系統(tǒng)中的合法程序，其數(shù)字簽名無(wú)效。

該程序運(yùn)行后在M盤(pán)中掛載EFI系統(tǒng)分區(qū)。

隨后將其余兩個(gè)文件復(fù)制到新掛載的分區(qū)中、刪除原路徑中的文件，執(zhí)行新路徑中的recovery.exe，并最終卸載EFI分區(qū)。

表 3?1復(fù)制載荷文件

3.2??????? recovery.exe

recovery.exe運(yùn)行后，創(chuàng)建執(zhí)行%SystemRoot%\System32\Lsaiso.exe進(jìn)程，使用遠(yuǎn)程線程注入技術(shù)，在該進(jìn)程中創(chuàng)建線程加載kd_08_5e78.dll。

3.3??????? kd_08_5e78.dll

該DLL執(zhí)行后，掃描當(dāng)前系統(tǒng)中運(yùn)行的進(jìn)程是否存在某些安全工具。

若當(dāng)前系統(tǒng)中未運(yùn)行以上進(jìn)程，獲取剪貼板中的內(nèi)容，根據(jù)加密貨幣錢包地址的格式檢測(cè)該內(nèi)容的開(kāi)頭字符及長(zhǎng)度，若匹配則將剪貼板中的加密貨幣錢包地址替換為攻擊者的錢包地址，從而轉(zhuǎn)移加密貨幣。

該剪貼板劫持器替換用戶錢包和攻擊者錢包的對(duì)應(yīng)關(guān)系如下表所示。

表 3?2替換用戶錢包和攻擊者錢包的對(duì)應(yīng)關(guān)系

4??????? 防護(hù)建議

為有效防御此類攻擊事件，提升安全防護(hù)水平，安天建議政企機(jī)構(gòu)采取如下防護(hù)措施：

4.1??????? 網(wǎng)站傳播防護(hù)

1.建議使用官方網(wǎng)站下載的正版軟件。如無(wú)官方網(wǎng)站建議使用可信來(lái)源進(jìn)行下載，下載后使用反病毒軟件進(jìn)行掃描；

2.建議使用沙箱環(huán)境執(zhí)行可疑的文件，在確保安全的情況下再使用主機(jī)執(zhí)行。安天追影威脅分析系統(tǒng)（PTA）采用深度靜態(tài)分析與沙箱動(dòng)態(tài)加載執(zhí)行的組合機(jī)理，可有效檢出分析鑒定各類已知與未知威脅。

4.2??????? 終端防護(hù)

1.安裝終端防護(hù)系統(tǒng)：安裝反病毒軟件，建議安裝安天智甲終端防御系統(tǒng)；

2.加強(qiáng)口令強(qiáng)度：避免使用弱口令，建議使用16位或更長(zhǎng)的口令，包括大小寫(xiě)字母、數(shù)字和符號(hào)在內(nèi)的組合，同時(shí)避免多個(gè)賬號(hào)使用相同口令。

4.3??????? 遭受攻擊及時(shí)發(fā)起應(yīng)急響應(yīng)

聯(lián)系應(yīng)急響應(yīng)團(tuán)隊(duì)：若遭受惡意軟件攻擊，建議及時(shí)隔離被攻擊主機(jī)，并保護(hù)現(xiàn)場(chǎng)等待安全工程師對(duì)計(jì)算機(jī)進(jìn)行排查；安天7*24小時(shí)服務(wù)熱線：400-840-9234。

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱IEP）可實(shí)現(xiàn)對(duì)惡意軟件的有效查殺。

圖 4?1安天智甲實(shí)現(xiàn)對(duì)用戶系統(tǒng)的有效防護(hù)

5??????? 事件對(duì)應(yīng)的ATT&CK映射圖譜

針對(duì)攻擊者投遞剪貼板劫持器的完整過(guò)程，安天梳理本次攻擊事件對(duì)應(yīng)的ATT&CK映射圖譜如下圖所示：

攻擊者使用的技術(shù)點(diǎn)如下表所示：

表 5?1事件對(duì)應(yīng)的ATT&CK技術(shù)行為描述表

6??????? IoCs?