团队协作平台Confluence的重大漏洞CVE-2021-26084,Atlassian始于8月底修补完成,9月初就传出遭到攻击者利用,美国当局因此提出警告,呼吁用户要尽快修补Confluence服务器,不久之后,又有安全研究人员提出新发现:攻击者已利用含有漏洞的Confluence来挖矿牟利(其中,持续集成(CI)工具Jenkins证实他们已弃用的协作平台服务器受害)。
现在,此项漏洞也被勒索软件黑客盯上。安全企业Sophos于10月4日,披露自9月中旬出现的Atom Silo勒索软件攻击行动,而在这起事故中,攻击者入侵受害组织的渠道,就是借由上述的Confluence漏洞,再横向感染其他处于相同局域网络的计算机。
关于Atom Silo的特征,Sophos表示,它与LockFile几乎相同,但攻击者运用了一些新手法,而使得调查极为困难,例如,攻击者使用侧载恶意动态程序库的方式,来中断Sophos端点杀毒软件的运行。
关于此次勒索软件的攻击,是发生在9月24日,但其实黑客在9月13日,就攻击受害组织的Confluence服务器,侵入渠道是对象图导航语言(Object Graph Navigation Language,OGNL)注入漏洞CVE-2021-26084,对方经由程序代码注入攻击而在受害者系统上形成了后门,使得攻击者后续能够下载作案工具并执行。
除了上述漏洞产生的后门,攻击者通过恶意酬载于Confluence服务器上,植入第2个后门程序──这个后门由3个文件组成,其中一个为具有合法签章的可执行文件,攻击者用来侧载恶意DLL程序库。
而这个恶意DLL文件的启动方式,是被冒充为可执行文件所需的程序库,与可执行文件存放于相同的文件夹,以便让可执行文件运行时访问,这种手法被称为DLL搜索顺序挟持(DLL Search Order Hijacking)。
至于该恶意文件的作用,是读取最后一个文件mfc.ini,来解密并加载后门。
上述DLL加载的恶意程序代码内容,会使用TCP/IP的80连接端口,访问1个中继站的主机名称,程序代码一旦加载,攻击者就能通过Windows管理接口(WMI),远程执行Shell命令。接下来,黑客可以开始横向移动,并在5个小时内入侵数台服务器。
前述入侵工作完成之后,攻击者一直到了9月24日,才再度行动。他们开始探索受害组织的重要服务器,并远程操作RClone软件,将资料到外泄到攻击者持有的云计算文件同步服务(特定Dropbox用户账号的云计算存储空间)。
等到资料传输完成,他们便将勒索软件Atom Silo的相关文件,上传到域名控制器,再借由群组原则的套用,感染域名里的所有计算机。而在启动勒索软件之前,攻击者也利用核心驱动程序文件drv64.dll,来干扰受害计算机安装的Sophos杀毒软件运行,并且停用Sophos的文件扫描服务。
那么,若是端点侦测与反应系统(EDR)遇到这个恶意软件,又会是如何呢?Sophos表示,虽然他们的端点防护软件Intercept X,能通过CryptoGuard功能侦测到勒索软件,但攻击者会接着发动第2波攻击,将第2个攻击执行文件,植入Windows的用户桌面文件夹,使得防护遭到破坏,并且再度更新群组原则来执行Atom Silo。