为什么攻击者不再研发华丽漏洞,反而把眼睛投向企业日常使用的管理工具?最新曝光的伊朗相关黑客组织Cavern Manticore,用一种几乎不触发警报的方式,回答了这个让安全团队困惑的问题。
这个组织没有使用任何闪亮的零日漏洞。他们直接利用SysAid远程监控与管理平台,向以色列的IT服务商推送了一个虚假软件更新。这次更新表面正常,暗地里却释放出一个看似合法的文件,启动了一种叫做DLL侧加载的静默装载技术。
根据Check Point研究人员的调查,攻击者向目标投递了一份与磁盘分析工具WinDirStat捆绑的文件包。当真正的WinDirStat程序运行时,它会毫无察觉地加载一个伪装成系统文件uxtheme.dll的假库,而这个假库正是Cavern后门的本体。后门一旦激活,立即连接到一个专门处理网络流量的独立文件,并对通信进行了加密,使得流量混合在正常数据中难以被察觉。
这种攻击不是一次性作业。Cavern Manticore先入侵了一家IT服务商,再以此为跳板横向移动到另一家组织,最终才触及真正感兴趣的目标。这套迂回的攻击链背后,藏着一套精心设计的模块化恶意框架,研究人员直接把它命名为Cavern。
Cavern框架的每个组件都可以按需插拔。负责基础通信的、窃取文件的、翻查数据库的、扫描网络的模块各自独立运行。每次攻击时,组织者只需要挑选对应的模块,就能定制入侵行动,不必频繁改写整个恶意软件。更让分析人员头疼的是,同一个Cavern代码被刻意用三种不同的编译器构建。每种版本需要完全不同的分析工具,这大大拖慢了防御方还原恶意行为的节奏。
除了模块化和编译混淆,Cavern还展现了一套细致的反取证策略。它会把每个模块放在隔离的内存空间运行,任务完成后立即从内存里抹去。工作目录里的大部分文件也会被自动清理,只保留维持后门持续运行的最小必要组件。这种刻意的现场打扫,目的是让事后取证人员难以拼凑攻击全貌。
Check Point在报告中指出,Cavern Manticore的战术偏好和此前伊朗相关的MuddyWater、Lyceum等组织存在关联。整体来看,这个新浮现的对手表现得极为耐心且资源充足,其攻击重心落在以色列政府和IT服务部门。攻击者对IT服务商的兴趣绝非偶然——这些服务商作为数字化基础设施的信任节点,一旦沦陷,就等于拿到了通往众多客户网络的备用钥匙。
热门跟贴