年初一場突發(fā)的疫情，將辦公族們的辦公場地從公司變?yōu)榧抑?，平日面對面的工作交流也都變成了線上溝通。在此期間，云辦公、云流程實力出圈，強大的遠程協(xié)作體驗受到了廣大用戶的極力追捧。然而“樹大招風”，隨著云辦公的使用熱度日益高漲，黑客組織也皆聞風而來，企圖從中大撈一把。

　　近期，360安全大腦就借助全網(wǎng)信息，感知到有著大量用戶的云辦公軟件明道云，官網(wǎng)下載鏈接慘遭劫持。當用戶點擊官方網(wǎng)站的下載鏈接后，下載的卻是經(jīng)過偽裝的木馬安裝包。經(jīng)360安全大腦結合用戶被攻擊信息分析，初步判定這一貍貓換太子的把戲，源于明道云部分下載服務器失陷。

　　針對此次“藏毒“事件，360安全大腦第一時間通知明道云，目前，明道云官網(wǎng)和軟件已恢復安全，可正常下載使用。此外，360安全大腦已獨家攔截該木馬攻擊，廣大用戶也可盡快下載安裝360安全衛(wèi)士，保護個人數(shù)據(jù)及財產(chǎn)安全。

供應鏈攻擊藏“毒”軟件源頭

利用信任輕松獲取大量用戶數(shù)據(jù)

　　隨著網(wǎng)絡安全防護技術的完善，黑客團伙想利用傳統(tǒng)攻擊手段非法獲利，可謂愈發(fā)艱難。而針對供應鏈發(fā)起的網(wǎng)絡攻擊，則通過利用用戶對于正版軟件供應商的信任，讓成功率實現(xiàn)幾何式增長;另外，只要黑客成功攻陷一家軟件供應商，就可以直接獲取大量用戶數(shù)據(jù)，尤其當這些用戶是以企業(yè)為單位時，足以讓其“要不不開張，開張吃一年”。

　　經(jīng)在全網(wǎng)海量歷史數(shù)據(jù)中進行溯源追查后，360安全大腦發(fā)現(xiàn)該黑客團伙至少從2019年5月起就已經(jīng)開始作案，主要采取投放釣魚木馬和直接滲透攻擊，并竊取了某些公司的數(shù)字證書，導致后續(xù)散播的木馬程序具有了正規(guī)公司的數(shù)字簽名。

　　在360安全大腦捕獲到該例供應鏈攻擊后，發(fā)現(xiàn)其木馬具有正常公司的數(shù)字簽名，乍一看還會誤認為其“出身清白”。而事實是黑客團伙重打包了明道云2.0.3版本的安裝包，并打上了簽名“西安星空互動軟件開發(fā)有限公司”。

　　接著雙擊運行木馬安裝包，360安全大腦還發(fā)現(xiàn)安裝目錄多出一個同樣非明道云官方簽名的hid.dll模塊(如下圖所示)，除此之外的明道云文件全部正常，排查后發(fā)現(xiàn)這是針對明道云主程序MingDaoClould.exe的DLL劫持。而簽名處無奈背鍋的“西安星空互動軟件開發(fā)有限公司” 所屬一家制作游戲加速器的公司，很可能是黑客團伙盜用的數(shù)字證書，實與明道云毫無關系。

　　360安全大腦還對DLL文件進行了分析，發(fā)現(xiàn)其功能主要是判斷用戶的.Net版本之后釋放一個BAT腳本文件(如下圖所示)，這個腳本首先用C#編譯器編譯生成一個木馬下載器，然后將下載鏈接以參數(shù)的方式傳遞給下載去執(zhí)行，最后清理現(xiàn)場。

　　從木馬生成的批處理腳本可以看到它聯(lián)網(wǎng)獲取了一個名為logo.png的圖片，然而實際上這是一個可執(zhí)行程序。

　　該程序會聯(lián)網(wǎng)獲取一個尾部攜帶shellcode的圖片，然后查找桌面進程(“explorer.exe”)并注入執(zhí)行shellcode，其具體功能就是建立一個連接到黑客團伙的后門通道，等待接收控制指令。

新型攻擊手法層出不窮

云辦公安全或將迎來升級挑戰(zhàn)

　　本著對于木馬病毒的零容忍態(tài)度，360安全大腦不能坐視這種破壞正常軟件信任的事件發(fā)生。根據(jù)已有的信息在海量歷史數(shù)據(jù)中進行溯源檢索顯示，該團伙至少從2019年5月份起就已經(jīng)開始通過滲透、釣魚等手法接連作案。

　　2019年5月23日，某企業(yè)員工遭到釣魚攻擊，接收了名為“簡歷.exe”的文件后表現(xiàn)出受害者特征。

　　該釣魚文件的圖標偽裝成系統(tǒng)文件夾的樣式，很容易迷惑普通用戶導致中招，實際上它是一個木馬下載器。(如下圖所示)

　　

　　2019年9月7日，某用戶電腦遭到滲透攻擊，后續(xù)黑客團伙手工投放木馬下載器“formdl.exe”進行后續(xù)攻擊，該木馬會在內(nèi)存解密執(zhí)行聯(lián)網(wǎng)獲取的shellcode進行后續(xù)攻擊。相關代碼大致如下圖所示。

　　在后續(xù)攻擊中還發(fā)現(xiàn)了具備正常簽名的木馬程序，這說明黑客團伙不是第一次盜用他人公司的正版數(shù)字證書了，除了“西安星空互動軟件開發(fā)有限公司”還盜用“Xiamen Tongbu Networks Ltd.”來簽發(fā)惡意程序，損害數(shù)字簽名可信度。

　　

　　2019年9月16日，某游戲行業(yè)人員遭到釣魚攻擊，收到了釣魚文件“201909.exe”，行為與上文“簡歷.exe”類似。

　　2019年12月16日，某金融行業(yè)人員的電腦上，木馬文件隨系統(tǒng)服務開機啟動。

　　2019年12月18日，某房地產(chǎn)相關人員，遭受釣魚攻擊。

　　2020年3月27日，明道云某客服的電腦中招。

　　2020年4月10日，明道云某用戶遭遇針對性釣魚攻擊，用戶啟動了釣魚文件之后，黑客會查找明道云的安裝目錄并釋放文件“version.dll”到其根目錄下。

　　文件“version.dll”會對明道云的主程序形成DLL劫持，每當用戶啟動明道云的時候就會隨之加載執(zhí)行，它的具體功能是和前文的“hid.dll”一樣最終注入桌面留下后門。

　　2020年4月27-28日，明道云官網(wǎng)下載鏈接被劫持，多例用戶電腦被感染。

　　與明道云官方溝通后，360安全大腦認為，2020年發(fā)生的這三起攻擊并沒有發(fā)現(xiàn)直接聯(lián)系。

　　從追蹤溯源得到的信息不難看出，這個黑客團伙一開始并沒有什么具體的目標，受害者涉及各行各業(yè)，各個受害者之間明顯都沒什么關系，但是此次針對明道云的攻擊持續(xù)了一個多月，與之前打一槍換一個地方的風格相比發(fā)生了很大的變化。

　　對此，360安全大腦在整合后進行了關聯(lián)與分析，發(fā)現(xiàn)這與明道云的獨特屬性關系密切。

　　1、高性能服務器能獲得“高回報“

　　明道云的服務對象主要是企業(yè)用戶，而企業(yè)的高性能服務器對于黑客團伙來說一直都很有吸引力。

　　2、藏毒開發(fā)源頭實現(xiàn)火速蔓延

　　其次則是明道云的軟件特點，明道云作為一個生產(chǎn)力工具，普通業(yè)務人員就能進行開發(fā)，門檻低，開發(fā)數(shù)量多，帶著病毒的新模塊快速形成二次擴散攻擊。

　　基于以上兩點，不難看出黑客團伙認為明道云完全值得他們花費更多的時間和精力去攻擊并挖掘潛在價值。

　　由此可見，隨著各類云辦公軟件逐漸成為辦公族們的工作首選，隨之而來的網(wǎng)絡安全問題也將如同雨后春筍般，油然而生。但360安全大腦通過多種技術手段防御和發(fā)現(xiàn)最新木馬病毒，且已率先實現(xiàn)對該類木馬的查殺，為避免此類攻擊的感染態(tài)勢進一步擴大，360安全大腦建議：

　　1、及時前往weishi.#，下載安裝360安全衛(wèi)士，可有效攔截查殺各類木馬病毒;

　　2、對于安全軟件提示風險的程序，切勿輕易添加信任或退出殺軟運行;

　　3、使用360軟件管家下載軟件，360軟件管家收錄萬款正版軟件，經(jīng)過360安全大腦白名單檢測，下載、安裝、升級，更安全。

特別提醒：本網(wǎng)內(nèi)容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內(nèi)容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網(wǎng)有任何內(nèi)容侵犯您的權益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。