Illustrasjon av et spydfiskeangrep: En fiskekrok fanger en e-post på en laptop-skjerm.
En grundig gjennomgang av et nylig forsøk på spydfiskeangrep
I desember ble en av våre MDR-kunder målrettet av en spydfiskeangrep.
Populære taktikker i spydfiskeangrep
Kampanjen brukte mange taktikker som er populære akkurat nå og som dessverre fortsatt er vellykkede. E-poster ble sendt til mange mottakere på tvers av organisasjonen i flere forskjellige avdelinger. E-postene inneholdt Microsoft Word-vedlegg med uskyldige navn som «Bio.doc» og «CRTechnical.doc». E-postene var enkle og inneholdt få detaljer.
Viktigheten av å være forsiktig med makroer
Når brukerne åpnet vedlegget, ble de bedt om å aktivere makroer. Generelt, hvis du noen gang mottar et Microsoft Office-dokument og når du åpner det, blir bedt om å aktivere makroer…STOPP! Før du gjør noe annet med dokumentet, kontakt avsenderen av dokumentet og:
- Bekreft at avsenderen faktisk sendte deg dokumentet; hvis du ikke kjenner avsenderen, rapporter eller send e-posten til din bedrifts sikkerhets- eller IT-avdeling.
- Bekreft at avsenderen sendte deg et dokument med innebygde makroer. Hvis de ikke gjorde det eller ikke engang vet hva en makro er, rapporter eller send e-posten til din bedrifts cybersikkerhets- eller IT-avdeling.
Når en bruker aktiverer en slik makro, gir de filen tillatelse til å kjøre eller utføre kode. Den koden kan inneholde alle typer skjulte skadelige instruksjoner og kan se slik ut:
Analyse av spydfiskeangrep
I dette spydfiskeangrepet, ved å aktivere makroen, ga brukerne filen tillatelse til å kjøre PowerShell. Mens PowerShell er et veldig kraftig Microsoft Windows-verktøy som har mange uskyldige og nyttige formål, er det også et av hackernes mest nyttige og tungt brukte verktøy.
Her tok dette tradisjonelle spydfiskeangrep en interessant vending. Når PowerShell-verktøyet startes, krever det vanligvis input som forteller det hva det skal gjøre. Denne inputen kan være en skriptinputfil (ofte med filendelsen .ps eller .ps1), eller det kan være en faktisk liste med kommandoer som sendes direkte til PowerShell.
Her er PowerShell-kommandoen som denne spesifikke malware forsøkte å starte:
Ser det mistenkelig ut? Det burde – det er gibberish! Men hvordan kan vi forstå dette? For et trent øye – eller en av våre dyktige Absec SOC-analytikere – skiller visse mønstre seg ut. For eksempel: denne kommandoargumentet bruker en skjulteknikk som leser argumenter i revers.
Dekryptering av kommandoen
Nå som vi har en følelse av hva dette er, la oss se om vi kan «løse» det. Ved å kjøre det gjennom et reverseringsverktøy som rev i Mac OSX eller Linux eller via en nettside som Codebeautify, får vi følgende output. Nå begynner vi å komme et sted!
Undersøkelse av IP-adressen
Neste, våre MDR-analytikere undersøkte denne IP-adressen og fant ut at den pekte til en server i Russland. Vårt trussel-forsknings-team kunne fastslå at den endelige nyttelasten var Ursnif-trojaneren som brukte forskjellige første trinns teknikker som omgått e-postsikkerhet og hadde lave VirusTotal-deteksjoner på tidspunktet for kampanjen.
Oppsummering av spydfiskeangrep
La oss oppsummere høydepunktene av dette angrepet:
- Mistenkelig e-post -> Sjekk
- Microsoft-vedlegg -> Sjekk
- Må aktivere makro -> Sjekk
- PowerShell startet -> Sjekk
- Skjulte kommandolinje-argumenter eller merkelige skriptfiler -> Sjekk
- Ekstern filforespørsel -> Sjekk
- Game Over? -> Heldigvis ikke for vår kunde som brukte Absec’s MDR-tjeneste
Interessert i hvordan du kan beskytte din egen infrastruktur mot avansert malware og ondsinnede cyberaktører? Kontakt oss nedenfor for å se hvordan Absec’s Managed Detection and Response (MDR) tjeneste kan hjelpe med å sikre din organisasjon på mindre enn en time!
Siste kommentarer