微软已经标记了一种相对较新的攻击方式,称为“HTML 走私”,它被用于部署银行恶意软件和远程访问木马 (RAT) 的电子邮件活动,并作为有针对性的黑客攻击的一部分。
HTML 走私允许攻击者在特制的 HTML 附件或网页中“走私”编码的恶意脚本。 这是一种“高度规避”的恶意软件传送技术,它使用合法的 HTML5 和 JavaScript 功能向 Microsoft 365 Defender 威胁情报团队发出警告。
这是一种绕过标准网络外围安全(例如 Web 代理和电子邮件网关)的令人讨厌的技巧,因为在员工打开带有恶意 HTML 脚本的网页或附件后,恶意软件就会在网络内部构建。 因此,即使网关设备检查可疑的 EXE、ZIP 或 Office 文档,公司的网络也可能受到攻击。
“当目标用户在他们的 Web 浏览器中打开 HTML 时,浏览器会解码恶意脚本,然后在主机设备上组装有效负载。因此,攻击者没有直接通过网络传递恶意可执行文件,而是构建本地防火墙后面的恶意软件,”微软警告说。
这是一种实用的攻击技术,因为大多数企业使用 HTML 和 JavaScript 来运行他们的业务应用程序。问题在于,最近 HTML 走私攻击激增,因为 Trickbot、RAT 和其他恶意软件等银行恶意软件背后的网络犯罪集团正在向国家资助的攻击者学习。
这种攻击方式值得注意,因为它已被克里姆林宫支持的黑客使用 - 被微软跟踪为 Nobelium。从那时起,它就被网络犯罪分子采用。
HTML 走私是一种有效的技术,因为 Web 对业务运营至关重要。例如,组织可以在浏览器中禁用 JavaScript,但众所周知,这是一种不切实际的方法,因为语言在网络上无处不在。微软试图通过关闭 JavaScript JIT 编译器的 Super Duper 安全模式来加强 Edge 的安全性。谷歌还定期修复 Chrome 的 V8 JavaScript 引擎中的严重错误。
“禁用 JavaScript 可以减少使用 JavaScript Blob 创建的 HTML 走私。但是,JavaScript 用于呈现与业务相关的网页和其他合法网页,”微软解释说。
“此外,还有多种方法可以通过混淆和多种 JavaScript 编码方式来实现 HTML 走私,这使得上述技术对内容检查非常规避。”
微软发现,在 7 月和 8 月之间,在提供 AsyncRAT/NJRAT 等 RAT 的活动中,HTML 走私活动有所增加。
“在 9 月份,我们看到了一个利用 HTML 走私来提供 Trickbot 的电子邮件活动。微软将这次 Trickbot 活动归因于一个新兴的、出于经济动机的网络犯罪集团,我们将其作为 DEV-0193 进行跟踪,”微软说。