HTML Smuggling
مهاجم با استفاده از تکنیک HTML Smuggling یک فایل ZIP با پسورد را تحویل سازمان قربانی داده است که این فایل حاوی بدافزار IceID است که منجر به اتصال و استفاده از Cobalt Strike می شود.
این مقاله ادامه ی مقاله ی IceID Macro است که با استفاده از ماکرو در اکسل و بدافزار IceID منجر به دسترسی اولیه شد.
در تاریخ نوامبر 2022 این نفوذ با استفاده از تکنیک HTML Smuggling از طریق تحویل دادن یک فایل HTML به صورت ایمیل انجام می شود. هنگامی که ایمیل توسط قربانی خوانده می شود و فایل HTML موجود در ایمیل را باز می کند، یک صفحه جعلی Adobe به قربانی نمایش داده می شود و فایل ZIP دانلود می شود. صفحه جعلی باز شده حاوی پسورد برای فایل ZIP دانلود شده می باشد این روش برای محافظت از Payload داخل فایل ZIP از تشخیص و تحلیل در مقابل آنتی ویروس انجام میشود. محتویات فایل ZIP شامل یک فایل ISO میباشد که داخل این فایل مهاجم Payload مخرب مورد نظر خود را قرار داده است. این محتویات توسط مهاجم پنهان شده اند، قربانی فقط یک فایل LNK را که بعنوان یک داکیومنت ذخیره شده است را می بیند. با کلیک کردن قربانی بر روی این فایل قبل از اجرا شدن بدافزار مجموعه ای از دستورات اجرا می شود. این دستورات برای کپی کردن rundll32 و dll های آلوده از فایل ISO به داخل سیستم است. بعد از اجرا شدن این dll های آلوده یک ارتباطی بین IceID و C2 سرور مهاجم ایجاد می شود، در حین اجرا شدن این dll ها تصویری قانونی از سند مالی به کاربر نمایش داده می شود.
با استفاده از Scheduled Task یک Backdoor ایجاد می شود که با استفاده از این Task بدافزار IceID هر یک ساعت یکبار اجرا می شود. سپس بدافزار شروع به جمع آوری و شناسایی اطلاعات در سیستم می کند. سپس بدافزار به سرور Cobalt Strike وصل میشود و شروع به Dump کردن LSASS و اطلاعات حساس مانند Password و Username میکند. سپس با تکنیک Lateral Movement با حرکت در شبکه شروع به جمع آوری اطلاعات از Host و Domain Controler ها می کند و در فایل با فرمت 7-zip ذخیره می کند و با استفاده از PsExec و WMIC دیتا و اطلاعاتی را که جمع آوری کرده است را خارج می کند.
راه هایی برای کاهش این خطر پذیری
- نظارت بر ترافیک خروجی از شبکه
- عدم کلیک بر روی فایل های داخل ایمیل ناشناس
- عدم اجرا کردن فایل های مشکوک
- نظارت بر روی پروسس های در حال اجرا در سیستم عامل
روش های تشخیص این حمله
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- مشاهده فعالیت های مربوط به Scheduled Task
- نظارت بر روی نرم افزارهای نصب شده روی سیستم
- مشاهده ترافیک مشکوک در شبکه
- مشاهده پروسس و آرگومان های ایجاد شده هنگام اجرا شدن بدافزار
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Initial Access | Execution | Persistence | Privilege Escalation | Defense Evasion | Credential Access | Discovery | Lateral Movement | Collection | Command and Control | Impact |
| Spearphishing Attachment | Command and Scripting Interpreter | Account Manipulation | Abuse Elevation Control Mechanism | Command Obfuscation | Adversary in the Middle | Account Discovery | Exploitation of Remote Service | Adversary-in-the-Middle | Application Layer Protocol | Account Access Removal |
| Exploit Public-Facing Application | Scheduled Task | BITS Jobs | Access Token Manipulation | Access Token Manipulation | Brute Force | Application Window Discovery | Internal Spearphishing | Archive Collected Data | Communication Through Removable Media | Data Destruction |
| External Remote Services | Deploy Container | Boot or Logon Autostart Execution | Boot or Logon Autostart Execution | BITS Jobs | Credential from Password Stores | Browser Bookmark Discovery | Lateral Tool Transfer | Audio Capture | Data Encoding | Data Encrypted for Impact |
| Hardware Additions | Exploitation for Client Execution | Boot or Logon Initialization Scripts | Scheduled Task | Build Image on Host | Credential in Files | Cloud Infrastructure Discovery | Remote Service Session Hijacking | Automated Collection | Data Obfuscation | Data Manipulation |
| Phishing | Inter-Process Communication | Browser Extensions | Create or Modify System Process | Debugger Evasion | Forced Authentication | Cloud Service Dashboard | Remote Desktop Protocol | Browser Session Hijacking | Dynamic Resolution | Defacement |
| Replication Through Removable Media | Powershell | Compromise Client Software Binary | Domain Policy Modification | Deobfuscate/Decode Files or Information | Forge Web Credential | Cloud Service Discovery | Replication through Removable Media | Clipboard Data | Web Protocol | Network Denial of Service |
| Supply Chain Compromise | Scheduled Task/Job | Create Account | Escape to Host | Deploy Container | Input Capture | Cloud Storage Object Discovery | Software Deployment Tools | Data from Cloud Storage Object | Fallback Channels | Resource Hijacking |
| Spearphishing link | Malicious File | Create or Modify System Process | Windows Service | Direct Volume Access | Modify Authentication Process | Container and Resource Discovery | Taint Shared Content | Data from Configuration Repository | Ingress Tool Transfer | Service Stop |
| Valid Accounts | Software Deployment Tools | Event Triggered Execution | Exploitation for Privilege Escalation | Domain Policy Modification | Multi-Factor Authentication Interception | Debugger Evasion | Use Alternate Authentication Material | Data from Information Repositories | Multi-Stage Channels | |
| System Services | External Remote Services | Hijack Execution Flow | Fileless Storage | Network Sniffing | Domain Trust Discovery | SMB/Windows Admin Shares | Data from Local System | Non-Application Layer Protocol | ||
| User Execution | Hijack Execution Flow | Process Injection | Exploitation for Defense Evasion | LSASS Memory | Domain Groups | Local Data Sharing | Non-Standard Port | |||
| Windows Management Instrumentation | Implant Internal Image | Scheduled Task/Job | File and Directory Permissions Modification | Credential in Registry | Domain Account | Data from Removable Media | Custom Command and Control Protocol | |||
| Windows Command Shell | Modify Authentication Process | Valid Accounts | Hide Artifacts | Network Service Discovery | Data Staged | Proxy | ||||
| Office Application Startup | HTML Smuggling | Network Share Discovery | Email Collection | Remote Access Software | ||||||
| Pre-OS Boot | Impair Defenses | Network Sniffing | Input Capture | Traffic Signaling | ||||||
| Scheduled Task/Job | Indicator Removal on Host | Password Policy Discovery | Screen Capture | Web Protocols | ||||||
| Server Software Component | Indirect Command Execution | Peripheral Device Discovery | Video Capture | |||||||
| Traffic Signaling | Masquerading | Permission Groups Discovery | ||||||||
| Valid Accounts | Modify Authentication Process | Process Discovery | ||||||||
| Modify Cloud Compute Infrastructure | Query Registry | |||||||||
| Match Legitimate Name or Location | Remote System Discovery | |||||||||
| Modify System Image | Security Software Discovery | |||||||||
| Network Boundary Bridging | System Information Discovery | |||||||||
| Obfuscated Files or Information | System Location Discovery | |||||||||
| Plist File Modification | System Network Configuration Discovery | |||||||||
| Pre-OS Boot | System Network Connections Discovery | |||||||||
| Process Injection | System Owner/User Discovery | |||||||||
| Reflective Code Loading | System Service Discovery | |||||||||
| Rogue Domain Controller | System Time Discovery | |||||||||
| Rootkit | Virtualization/Sandbox Evasion | |||||||||
| Deobfuscate/Decode Files or Information | Local Groups | |||||||||
| Rundll32 | Local Account | |||||||||
| System Script Proxy Execution | ||||||||||
| Template Injection | ||||||||||
| Traffic Signaling | ||||||||||
| Trusted Developer Utilities Proxy Execution | ||||||||||
| Unused/Unsupported Cloud Regions | ||||||||||
| Use Alternate Authentication Material | ||||||||||
| Valid Accounts | ||||||||||
| Virtualization/Sandbox Evasion | ||||||||||
| Disable or Modify Tools | ||||||||||
| XSL Script Processing |