Havoc 惡意軟體可以輕易地隱藏在顯眼的地方
網路攻擊者不斷尋找新方法來逃避偵測並利用毫無戒心的使用者。其中一個引起轟動的威脅是 Havoc,這是一個開源命令與控制 (C2) 框架,已在複雜的網路釣魚活動中使用。與傳統惡意軟體不同,Havoc 採用先進的技術來隱藏其存在並以合法服務的幌子進行惡意活動。
Table of Contents
什麼是 Havoc 惡意軟體?
Havoc 是一個後開發框架,專為網路安全專業人員測試網路防禦而設計。然而,與許多合法的安全工具一樣,它已被威脅行為者用於惡意目的。在這種情況下,攻擊者修改了 Havoc 的「Demon」代理,以逃避偵測並進行秘密行動。
該惡意軟體透過利用一種稱為ClickFix的方法的網路釣魚活動進行傳播。攻擊始於一封包含標題為「Documents.html」的 HTML 附件的電子郵件。開啟後,該檔案會顯示錯誤訊息,指示使用者複製並執行 PowerShell 命令。這個看似簡單的步驟啟動了感染過程,使攻擊者能夠控制受害者的系統。
Havoc 如何運作?
一旦執行惡意 PowerShell 腳本,它就會聯絡對手控制的 SharePoint 伺服器來下載並執行其他腳本。攻擊分為幾個階段:
- 環境偵測:腳本首先檢查它是否在沙盒或虛擬化環境中運行,這是逃避網路安全分析工具的常用技術。
- Python 部署:如果未偵測到沙箱,則會繼續下載 Python 解釋器(如果系統上尚未安裝)。
- Shellcode 執行:下載的 Python 腳本接著載入一段負責啟動 Havoc Demon 代理程式的 shellcode。
- 命令與控制通訊:該惡意軟體使用廣受信賴的服務Microsoft Graph API與其操作員建立通訊。這種方法允許攻擊者將其惡意流量偽裝成合法流量,從而使檢測變得更具挑戰性。
Havoc 惡意軟體的目的是什麼?
一旦安裝在受感染的系統上,Havoc 就會為攻擊者提供一套工具來執行命令、操縱用戶權限、竊取敏感數據,甚至進行 Kerberos 攻擊。它的一些功能包括:
- 收集系統和使用者資訊
- 執行檔案操作,例如上傳和下載數據
- 執行任意命令和有效載荷
- 操縱使用者令牌來提升權限
- 進行網路偵察和憑證竊盜
Havoc 惡意軟體的影響
使用 Havoc 進行網路攻擊會對個人和組織造成嚴重的安全隱患。與其他依賴知名駭客基礎架構的惡意軟體不同,Havoc 利用廣受信任的服務(例如 SharePoint 和 Microsoft Graph API)來逃避偵測。這種方法允許攻擊者將其活動與合法網路流量混合在一起,使傳統安全工具更難識別和阻止惡意操作。
依賴 Microsoft 服務進行協作和資料儲存的組織特別容易受到攻擊,因為網路釣魚活動會使用虛假的 Microsoft OneDrive 錯誤訊息來攻擊使用者。毫無戒心的員工如果按照詐騙電子郵件中的說明進行操作,可能會無意中引發全面的系統入侵。
如何防範 Havoc 惡意軟體
鑑於 Havoc 所採用的複雜技術,每個人都必須採取積極主動的網路安全方法。降低風險的一些關鍵措施包括:
- 使用者意識和培訓:向員工和使用者介紹網路釣魚策略,包括 ClickFix 和其他社會工程方法。鼓勵對帶有附件或運行命令說明的未經請求的電子郵件保持懷疑。
- 電子郵件安全措施:實施先進的電子郵件過濾解決方案,在惡意附件到達使用者之前捕獲並封鎖它們。
- 端點保護:部署端點偵測和回應 (EDR) 解決方案,可識別和阻止與 Havoc 和類似惡意軟體相關的異常行為。
- 限制 PowerShell 的使用:透過強制執行原則並僅允許執行簽署的腳本來限制 PowerShell 腳本的使用。
- 網路監控:監控網路流量中的異常活動,特別是與外部 SharePoint 伺服器的連接或異常的 Microsoft Graph API 互動。
- 定期更新和修補:確保所有軟體和系統都是最新的,以減少攻擊者可以利用的漏洞。
最後的想法
Havoc 惡意軟體代表了一種日益增長的趨勢,即開源安全工具被重新用於惡意活動。透過利用 Microsoft Graph API 和 SharePoint 等可信任服務,攻擊者可以有效地掩蓋他們的操作,使檢測變得越來越困難。隨著網路威脅變得越來越複雜,用戶必須保持警惕並採取強有力的安全措施來防範不斷演變的攻擊。
了解 Havoc 的運作方式並採取主動措施降低其風險可以幫助個人和企業抵禦這種新出現的網路安全威脅。
