2023年3月底，VoIP制造商3CX（流行的互聯(lián)網(wǎng)語音協(xié)議（VoIP）專用交換機(jī)（PBX）電話系統(tǒng)的開發(fā)商）遭到DLL旁加載攻擊。他們的軟件被大約60萬家公司和1200萬用戶使用，其中包括梅賽德斯-奔馳、麥當(dāng)勞、可口可樂、宜家和寶馬等。

什么是DLL 旁加載攻擊

DLL旁加載是一種將惡意代碼注入合法應(yīng)用程序的攻擊類型。當(dāng)惡意DLL與合法應(yīng)用程序放在同一文件夾中，并且應(yīng)用程序加載惡意DLL而不是合法DLL時，就會發(fā)生這種情況。這種類型的攻擊允許在應(yīng)用程序運(yùn)行時執(zhí)行惡意代碼，從而使攻擊者能夠訪問系統(tǒng)或執(zhí)行惡意活動。防止此類攻擊的最佳方法是確保在應(yīng)用程序文件夾中只加載授權(quán)的DLL，定期掃描所有DLL中的惡意代碼，并且應(yīng)用程序不是從不受信任的源運(yùn)行的。此外，重要的是要確保應(yīng)用程序是最新的安全修補(bǔ)程序。

據(jù)稱，3CX的Windows和macOS桌面應(yīng)用程序（也稱為Electron）附帶了一個由朝鮮控制的黑客組織Lazarus簽名并且被篡改的庫。該軟件隨后會聯(lián)系命令和控制服務(wù)器并下載進(jìn)一步的惡意軟件。

除了已發(fā)布的受影響庫的受影響版本號、簽名和文件名外，命令和控制服務(wù)器的目標(biāo)URL也是已知的。例如，其中包括：

https://akamaitechcloudservices[.]com/v2/storage and https://msedgeupdate[.]net/Windows.

因此，可以基于網(wǎng)絡(luò)中的活動來檢查網(wǎng)絡(luò)中的哪些客戶端受到影響。虹科IOTA提供了一種簡單的評估方法。

如何使用IOTA進(jìn)行分析

通過 DNS 概覽儀表板進(jìn)行分析

使用DNS Dashboard，安全分析師可以快速識別哪些客戶端查詢了受影響DNS記錄的DNS解析，并在此基礎(chǔ)上識別TCP流并將其下載到命令和控制服務(wù)器以進(jìn)行進(jìn)一步分析。

因此，在登錄IOTA web GUI后，我們首先切換到DNS概覽面板。

圖1：切換到DNS概覽面板

在圖2中，我們使用“搜索DNS”功能過濾FQDN akamaitechcloudservices[.]com。我們可以看到，一個客戶端已經(jīng)向DNS服務(wù)器192.168.178.1查詢了這個FQDN。

圖2：通過FQDN akamaitechcloudservices.com上DNS Overview Dashboard的“Search DNS”功能進(jìn)行篩選

隨后，我們向下滾動此儀表板并展開相關(guān)的流程。我們可以在“客戶端IP”列中識別出受感染的客戶端，其值為192.168.178.22。此客戶端聯(lián)系了搜索字段中命名的命令和控制服務(wù)器。為了執(zhí)行進(jìn)一步的分析，還可以在左側(cè)的下載列中下載相關(guān)聯(lián)的TCP流。

圖3：相關(guān)流程示意圖。在這種情況下，TCP流到示例主機(jī)192.0.2.1

可以使用不同的搜索查詢來評估進(jìn)一步的目標(biāo)FQDN，并且，如果需要，可以調(diào)整時間范圍選擇。

虹科IOTA的附加功能

DNS概覽儀表板提供了對DNS查詢的良好概覽和快速篩選。此外，它還提供了相關(guān)流的列表，包括時間戳，以及下載的可能性，以便進(jìn)行更深入的分析。