情报背景
近期SophosLabs 持续跟踪一款名为SolarMarker 的信息窃取器和后门。攻击事件中使用的传播方式和攻击手段较为新颖和有趣,包括使用SEO搜索引擎优化技术提高钓鱼网站的访问量,使用一些技巧保护样本隐蔽地完成持久化等。本文将对相关的攻击技战术进行分析研判。
组织名称 |
未知 |
相关工具 |
SolarMarker |
战术标签 |
载荷隐匿 |
技术标签 |
混淆 SEO搜索引擎优化 |
情报来源 |
https://news.sophos.com/en-us/2022/02/01/solarmarker-campaign-used-novel-registry-changes-to-establish-persistence/ |
01 攻击技术分析
SolarMarker的攻击过程如下图:
1.使用SEO搜索引擎优化技术,提高恶意网页和软件的曝光率。
2.在受害者进入钓鱼页面后诱使受害者点击,使其重定向至下载链接。
3.下载恶意的MSI程序,包含在MSI程序中的powershell脚本开始执行。
4.powershell脚本创建了lnk文件、大量无效随机命名文件(内部包含一个有效载荷)。
5.修改注册实现持久化,执行恶意载荷SolarMarker。
亮点一:利用SEO技术提高曝光率
攻击者在钓鱼阶段,充分利用了SEO搜索引擎优化技术,即利用搜索引擎的规则,使其在相关内容的搜索结果尽可能靠前以提高曝光率,通常用于提升网站访问量,获取商业利益。
SolarMarker作者通过使用SEO技术,使得其中三种分发恶意软件的途径进入了搜索引擎的前十,保证了恶意内容的曝光率,提高钓鱼成功率。至今,在搜索关键字和限定文件类型时,仍是在Google搜索中排名第一:
方式一 创建谷歌群组
通过创建多个虚假的Google群组,每个群组都有500-600个虚假对话条目,内容包括各种常见搜索词,实际上是一个伪装成指向pdf文件的链接的重定向站点,利用的是Google搜索引擎优先推广自家产品的规则特点。示例如下:
方式二 恶意pdf植入
在网站上托管着pdf文件,pdf文件有两个按钮,按钮可以链接到分发网站:hxxps://sseiatca[.]site
在这之中使用的SEO优化方式也是精心优化过的,比如:通过给pdf文档属性中的标题、作者、关键字等内容添加关键词,使得Google搜索时排名在前。
方式三 欺骗性网站
在受感染站点上托管的 HTML 页面。在这些恶意页面的 HTML 源中包含关键搜索词的链接集合,达到搜索引擎优化的目的。
亮点二:利用大量“烟雾弹”文件及其后缀名进行持久化
恶意的powershell脚本创建了大量的随机命名的无效文件,让人误以为都是随机产生的文件,但是在这之中却包含一个有效的加密载荷。从而达到混淆视听的效果。
此外,对lnk文件的操作也是反其道而行之。在通常情况下,恶意软件会通过lnk链接到恶意的可执行程序或者脚本中,但在该攻击中,该lnk文件所链接的只是一个垃圾文件,并不会执行什么恶意行为,起到一定的误导作用,达到混淆视听的效果,起作用的仅有所链接的文件的扩展名。
lnk文件链接
链接的垃圾文件
攻击者修改注册随机文件后缀,并将其关联至自定义的恶意程序实现持久化。执行注册的.wodehuabanxie后缀的文件,即可触发注册表中的命令。
修改注册注册后缀名
执行自定义后缀名文件执行命令
02 总结
SEO搜索引擎优化技术通常被网站运营者所使用,但在本次攻击中被黑客所使用,使得钓鱼网站的访问量大幅提高,攻击成功率也会大大提升。
在载荷投放至目标主机后的攻击过程中的两种混淆视听的方式,实现了隐匿的持久化方式,对安全设备和分析人员也有一定的迷惑作用。
绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。
研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。
M01N Team
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队
原文始发于微信公众号(M01N Team):攻击技术研判 | 利用SEO技术的钓鱼攻击与样本隐匿持久化技术