微软揭露BazaCall网络钓鱼攻击细节，分析回避侦测的多种手法

微软资安情资中心在6月23日提出警告，利用电话客服散布恶意软件BazaCall（亦称BazarCall）的钓鱼邮件攻击行动，攻击者的目标疑似是Office 365用户，且会在受害电脑植入勒索软件。但当时对于攻击行动的细节说明，可说是相当有限，仅有提及大致的攻击流程，且提及攻击者会人为操作并植入勒索软件，过程中会使用Cobalt Strike等局部线索。到了7月29日，他们公布了新的调查结果，说明这类攻击完整的流程，还有做为诱饵的钓鱼邮件如何回避邮件防护系统侦测，以及入侵受害电脑之后，将会利用多种合法工具攻击整个企业网域，并对于网络设备植入特定勒索软件等细节。同时，微软也针对BazaCall各攻击阶段的威胁猎捕，提供了进阶威胁查询指令。

针对BazaCall攻击手法，微软指出，根据他们的观察，攻击者会在受害环境的网络环境快速移动，外泄大量资料并窃取帐密，然后在成功入侵后的48个小时内，植入勒索软件Conti或Ryuk。

为何微软要揭露相关细节？因为在持续调查后，他们发现在BazaCall的攻击过程里，骇客利用社交工程和人为操控的方式，不像一般恶意软件采用自动化的攻击策略，而更容易逃过资安防护系统的侦测。这样的策略，他们觉得BazaCall比起目前已被公开的情况还要危险。

这种利用客服电话的攻击手法，最早是在今年2月被揭露。攻击者先是寄送钓鱼邮件，信件内容是佯称收信人订阅的网络或软件服务试用到期，接下来将会收取高额的订额费用，而使得被害人心生恐惧，依照邮件指示拨打“客服专线”，来取消有关服务。但实际上，这个由攻击者安排的“客服”，会指示上勾的受害者下载带有宏的Excel档案，一旦这个档案被开启，就会在受害电脑植入BazaLoader恶意程式，并建立C2中继站的连线，来进行后续的攻击行动。

微软曾经提及这种钓鱼邮件缺乏可被识别的元素，而使得一般邮件防护系统可能难以察觉异状。但这些元素为何？他们这次给了明确的答案：BazaCall的钓鱼邮件没有夹带附件或是URL连结，而这些正是邮件防护系统判别邮件内容是否可能有害的依据之一。

而为了让收信人会拨打电话给“客服”，攻击者也制造出几可乱真的氛围。例如，攻击者在每一波的钓鱼邮件都会使用不同的服务订阅名义，例如照片编辑服务或是烹饪交流网站的会员资格，但相同的都是宣称服务订阅将要到期。微软指出，攻击者疑似为了增加收信人拨打电话的意愿，他们看到最近一次的BazaCall攻击行动中，钓鱼邮件内容改为购买软件授权的收据确认信。

BazaCall攻击者以收件人购买了知名解压缩软件WinRAR的名义，寄送订购成功的通知信，在这封信中声称收件人购买了20台电脑授权，价值320美元，有2个星期时间可以拨打信里随附的“客服专线”取消购买。要是收件人拨打这支专线，“客服人员”就会指示下载恶意Excel文件档案进行后续攻击行动。

再者，微软指出，为了规避邮件防护系统透过寄件人黑名单的过滤方式，每封BazaCall邮件都是由不同的寄件人发出，而这些寄件人的电子邮件信箱，有可能是被盗用的，或是免费的电子邮件信箱；为了让收信人相信邮件来自真实的公司行号，寄件人也会谎称是来自与真实企业相似名称的公司，即使收信人透过网络搜寻进行确认，还是有可能会上当──因为，攻击者还架设了几可乱真的“官方网站”。

究竟这些钓鱼邮件，与真实的购买网络服务或是软件授权通知信有多么相似？微软表示，大部分的BazaCall邮件都会显示用户ID，而使得收信人误以为自己真的是他们的用户，但实际上，这组ID不只是用来骗收信人，还是攻击者追踪受害者的识别码。

一旦收信人依照指示打电话给“客服”，并下载了宣称是取消订阅所需填写的Excel表格，微软说BazaCall的客服还从中下了指导棋。因为，该公司发现，有些使用者会绕过SmartScreen等过滤机制，来下载他们已经标示有问题的恶意档案，这代表“客服人员”很可能从中指示要如何操作，并要胁如果不照做的话，信用卡就会被扣款。此外，“客服人员”也会要求使用者在开启上述Excel档案后，启用宏的功能。

这个Excel的宏一旦被触发后，便会借由就地取材（Living Off-the-Land）的手法，复制Windows操作系统里的certutil.exe，并利用这个副本档案下载BazaLoader──这是恶意的动态连结程式库（DLL），执行的方式是经由rundll32.exe载入。而BazaLoader与C2中继站保持通讯的方式，攻击者则是在rundll32.exe注入Edge浏览器的处理程序，这个处理程序也被用于侦察、收集用户资料、网域资料等工作。

而为了能让攻击者能远端手动控制，以及找寻网域管理员账号等资讯，此时rundll32.exe会下载渗透测试工具Cobalt Strike。而在攻击者侦察完受害电脑的网络环境，他们会使用该渗透测试工具随附的PsExec进行横向移动，而对于网域控制器等较具价值的攻击目标，攻击者横向移动的过程中，还会使用Windows Management Instrumentation命令列工具（WMIC）。

一旦攻击者发现具有高价值的目标，他们会使用7-Zip打包资料，并利用开源工具RClone外泄。针对网域控制器，攻击者运用NTDSUtil.exe，来复制受害组织的AD数据库档案NTDS.dit，这个档案包含了整个网域所有使用者的账号资料，以及密码杂凑值。

微软指出，上述资料外泄是部分BazaCall攻击的主要目的，但他们也看到攻击者接续在受害网域散布勒索软件的情况，攻击者会借由高权限的使用者账号，使用PsExec来在网络装置上植入Conti或是Ryuk。