被認為是初始存取掮客(IAB),之前並與 Qbot 惡意軟體及 Balck Basta 勒索軟體攻擊有關的 TA577 駭客組織竟改變攻擊戰術,於 2024 年 2 月 26 日和 27 日發動不同攻擊活動,向全球數百家企業組織發送數千條惡意訊息,目標是擷取企業員工的 NTLM(NT LAN Manager)認證雜湊(hash),以進行帳號刼持。
目前微軟已在 Windows 11 作業系統中導入額外的安全功能,使用者可以有效地用來封鎖專門針經由 SMB 的 NTLM 式攻擊。
在 Windows中,NTLM 雜湊用於身分認證和連線安全,駭客可以捕獲 NTLM 雜湊值以進行離線密碼破解,進而獲得明文密碼。不僅如此,駭客還可以用來發動「pass-the-hash」攻擊,攻擊者根本不需要破解密碼,就能直接使用雜湊通過遠端伺服器或遠端服務的身分認證。
透過被竊取的雜湊,攻擊者有可能用來提升權限、劫持帳號、存取敏感資訊、規避安全產品,並在遭入侵的網路內橫向擴散以擴大攻擊範圍。
利用 thread hijacking 技術,回覆受害者內含惡意壓縮檔的郵件
TA577 駭客組織新一波的攻擊是從網路釣魚攻擊開始的,該組織運用了所謂郵件討論串劫持(thread hijacking)技術,針對攻擊目標之前討論的內容發送回覆郵件。
這些郵件附帶了一個針對每位受害者的獨特 ZIP 壓縮檔,其中包含了使用 META refresh HTML 標籤的 HTML 檔案,一旦點取便會觸發對外部網路芳鄰伺服器(SMB Server)上文字檔的自動連接。當 Windows 裝置連接到該伺服器時,將自動嘗試執行 NTLMv2 Challenge/Response,接著遠端攻擊者控制的伺服器便會開始竊取 NTLM 認證雜湊。
郵件安全公司 Proofpoint 指出,TA577 駭客組織會將惡意 HTML 檔打包成 zip 壓縮檔,以便在主機上生成本地端檔案。如果該本地端檔案方案 URI 直接在電子郵件正文中發送,那麼攻擊將無法對 2023 年 7 月以後修補過的 Outlook 郵件客戶端造成任何影響。
竊取雜湊不是為了入侵網路,而是尋找有價值的目標
Proofpoint 並表示,由於這些 URL 並未傳送任何惡意軟體負載封包,由此可見它們的主要目標似乎就在捕獲 NTLM 雜湊。此外,這些 SMB 伺服器上的特定套件通常是非標準的,例如開源工具套件 Impacket,這表明了這些伺服器是被用於網路釣魚攻擊。
在 X 社交平台上以 Brian in Pittsburgh 為名的網安專業人士貼文指出,匹茲堡的網路安全專業人士 Brian 指出,威脅行動者想要使用這些被竊取的雜湊入侵網路的話,那麼就必須在帳號上禁用多因素身分認證。
漏洞研究人員Will Dormann表示,竊取雜湊可能不是為了入侵網路,而是作為一種偵察形式,以尋找有價值的目標。他在 X 上貼文指出,我可以想像若將網域名稱、使用者名稱和主機名稱結合起來,那麼就有能找到一些有趣的攻擊目標。
企業可配置防火牆、郵件過濾及 Windows 群組政策,以防止 NTLM 雜湊的發送
除了 Windows 已內建解決方案外,Proofpoint 指出,僅限制訪客存取 SMB 伺服器並不能緩解 TA577 駭客組織的攻擊,因為它會運用自動通過外部伺服器的身分認證,來規避限制。
一種可能有效的措施是配置防火牆以封鎖所有 SMB 外部連接(通常是 445 埠和 139 埠),如此一來便能阻止 NTLM 雜湊的發送。
另一種保護措施是實施電子郵件過濾,封鎖包含 HTML 壓縮檔的訊息,因為這些檔案可能在啟動時觸發對不安全端點的連接。
此外,企業亦可配置限制外送至遠端伺服器之 NTLM 流量等 Windows 群組網安政策,以防止 NTLM 雜湊值的發送。但需要注意的,這也可能導致對合法伺服器的身分認證問題。
▲ TA577 駭客組織 NTLM-based 攻擊分析表。(Source:科技新報整理)
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
