缓解ELUSIVE COMET Zoom远程控制攻击 - Trail of Bits博客
Trail of Bits
2025年4月17日
攻击、漏洞利用、应用安全、操作安全
内容目录
- 我们与ELUSIVE COMET的交锋
- 新的ELUSIVE COMET IoCs
- 理解Zoom的远程控制功能
- 为何此攻击能成功(即使对安全专业人员)
- Trail of Bits的防御态势
- 分层防御方法
- 使用PPPC配置文件的系统级防护
- 通过TCC数据库监控进行主动防御
- 通过清除Zoom实现最大保护
- 额外安全建议
- 构建针对人为中心攻击的弹性安全
当我们的CEO收到参加“Bloomberg Crypto”节目的邀请时,他立即识别出这是一场复杂社会工程活动的特征。看似合法的媒体机会,实际上是ELUSIVE COMET的最新行动——该威胁行为者通过精心构建的社会工程攻击窃取了数百万美元的加密货币。
本文详细介绍了我们与ELUSIVE COMET的交锋,解释了其针对Zoom远程控制功能的攻击方法,并提供了组织可以实施的具体防御措施。
我们与ELUSIVE COMET的交锋
两个独立的Twitter账户联系我们的CEO,邀请其参加“Bloomberg Crypto”系列节目——这一情景立即引发了危险信号。攻击者拒绝通过电子邮件沟通,并通过明显非官方Bloomberg属性的Calendly页面安排日程。这些操作异常(而非技术指标)揭示了攻击的本质。
X上Dan Guido(Trail of Bits CEO)与ELUSIVE COMET傀儡账户的私信
ELUSIVE COMET的方法反映了2025年2月Bybit 15亿美元黑客事件背后的技术,攻击者操纵合法工作流程而非利用代码漏洞。这强化了我们的观点:区块链行业已进入操作安全失败的时代,人为中心攻击比技术漏洞带来更大风险。
新的ELUSIVE COMET IoCs
除了SEAL咨询中先前发布的ELUSIVE COMET IoCs外,我们还识别了与该威胁行为者基础设施相关的新账户:
- X: @KOanhHa
- X: @EditorStacy
- 电子邮件: bloombergconferences[@]gmail.com
- Zoom URL: https://us06web[.]zoom[.]us/j/84525670750
- Calendly URL: calendly[.]com/bloombergseries
- Calendly URL: calendly[.]com/cryptobloomberg
组织应更新其监控系统和阻止列表以包含这些新指标。
理解Zoom的远程控制功能
ELUSIVE COMET的主要攻击向量利用Zoom的远程控制功能——这是一项允许会议参与者在获得许可后控制另一用户计算机的合法功能。当参与者请求远程控制时,对话框仅显示“$PARTICIPANT正在请求远程控制您的屏幕”。
显示伪造名称“Zoom”作为请求者的Zoom远程控制请求对话框示例
攻击通过简单但有效的社交工程技巧利用此功能:
- 攻击者安排看似合法的业务通话
- 在屏幕共享期间,他们请求远程控制访问
- 他们将显示名称改为“Zoom”,使请求看起来像系统通知
- 如果获得访问权限,他们可以安装恶意软件、窃取数据或进行加密货币盗窃
攻击者用于安排虚假Bloomberg访谈的Calendly预订页面和来自“Bloomberg Crypto”的会议邀请
此攻击特别危险之处在于权限对话框与其他无害Zoom通知的相似性。习惯于点击Zoom提示中“批准”的用户可能在未意识到后果的情况下授予对其计算机的完全控制。
为何此攻击能成功(即使对安全专业人员)
ELUSIVE COMET活动通过复杂结合社会证明、时间压力和界面操纵来利用正常业务工作流程而成功:
- 合法上下文:攻击发生在看似正常的业务交互期间
- 界面模糊性:权限对话框未明确传达安全影响
- 习惯利用:习惯于批准Zoom提示的用户可能自动操作
- 注意力分散:受害者专注于专业对话而非安全分析
此方法针对操作安全边界而非技术漏洞。
Trail of Bits的防御态势
我们与ELUSIVE COMET的交锋强化了我们对深度防御策略的信念,该策略同时解决技术和操作安全领域:
端点保护:CrowdStrike Falcon Complete提供24/7托管狩猎和响应,配置为“主动”安全态势,具有积极的云和基于传感器的ML预防设置。此配置支持实时行为检测可疑进程活动——特别是未经授权尝试访问系统辅助功能——即使恶意软件先前未知或无文件。
操作系统安全:强制公司范围内升级到最新主要macOS版本(一旦其.1版本可用)。Apple通过每个主要OS版本持续缩小攻击面,引入缓解漏洞类而非仅修补单个错误的特性。这种对旧版macOS版本的零容忍方法强化了我们的安全基线。
认证强化:所有Google Workspace账户强制安全密钥认证。每位员工在入职时收到YubiKey,零例外允许较弱认证方法(TOTP、SMS等)。Google SSO作为我们的主要认证提供商,将此基于硬件的防钓鱼抵抗扩展到所有支持的服务。此实现创建了即使复杂社会工程也无法绕过的硬安全边界。
密码管理:公司范围内部署1Password,为所有员工预安装浏览器扩展。扩展的域匹配逻辑防止在不匹配域上自动填充凭据(例如g00gle.com与google.com),在员工遇到潜在钓鱼站点时创建故意摩擦。这强制在可疑域上对凭据进行有意识的复制粘贴操作——简单但有效的认知中断,触发安全意识。
通信平台选择:主要使用Google Meet而非Zoom,因其基于浏览器的安全模型。基于浏览器的通信工具继承浏览器自身的安全模型,限制其对系统资源的访问。Chrome的沙盒防止Web应用程序在未经明确许可的情况下访问本地系统资源,创建比安装应用程序更受控的执行环境。
限制性应用程序控制:当需要Zoom时,它被包装额外安全控制并定期从系统中移除。通过威胁情报和我们自身的安全研究,我们识别在攻击中经常被滥用的高风险应用程序。我们对这些“最高的草”应用额外控制以限制其对系统资源的访问,并在非主动需要时定期移除。
最关键的是,我们的安全团队已将Zoom远程控制功能识别为不必要风险,并部署技术控制以防止其在我们的系统上运行。通过专门针对启用远程控制的辅助功能权限,我们关闭了ELUSIVE COMET利用的攻击向量,而不中断合法视频会议功能。
分层防御方法
为保护您的组织免受此攻击向量影响,我们建议使用我们的工具实施多层保护:
| 脚本 | 目的 | 执行频率 | 目标范围 |
|---|---|---|---|
| create_zoom_pppc_profile.bash | 创建系统级PPPC配置文件,防止辅助功能访问 | 每计算机一次 | 所有计算机 |
| disable_zoom_accessibility.bash | 主动检查并移除Zoom辅助功能权限 | 每15分钟 | 安装Zoom的计算机 |
| uninstall_zoom.bash | 从舰队计算机完全移除Zoom | 每周 | 安装Zoom的计算机 |
ELUSIVE COMET缓解工具索引
使用PPPC配置文件的系统级防护
隐私偏好策略控制(PPPC)配置文件通过防止Zoom在macOS系统级请求或接收辅助功能权限提供最强保护。这直接解决了漏洞,因为Zoom的远程控制功能需要辅助功能权限才能运行——没有这些权限,远程控制能力完全禁用,中和了ELUSIVE COMET的主要攻击向量。
PPPC配置文件提供若干安全优势:
- 应用于系统上所有用户,包括新用户账户
- 安装后普通用户无法移除
- 强制执行组织安全控制,无论用户偏好如何
- 使用代码签名验证专门针对官方Zoom应用程序
配置文件通过在系统级明确拒绝Zoom的辅助功能权限工作,创建用户无法通过正常方式覆盖的权限边界。此方法特别有效,因为它不依赖用户警惕性或培训——它只是使易受攻击功能在技术上无法启用。
当组织范围内部署时,这些配置文件确保即使用户在高风险业务对话期间处于压力下也能获得一致保护。通过专门专注于移除远程控制功能所需的辅助功能权限,此保护不干扰合法Zoom视频会议功能,同时仍防止ELUSIVE COMET利用的特定攻击向量。
通过TCC数据库监控进行主动防御
虽然PPPC配置文件为新权限请求提供主动保护,但它们不会自动撤销用户已授予Zoom的权限。这就是主动TCC数据库监控变得关键的地方——它作为“权限重置”机制,持续清理可能被利用的现有辅助功能授权。
disable_zoom_accessibility.bash脚本通过直接与macOS的透明、同意和控制(TCC)框架交互来系统化工作:
- 检测授予Zoom的现有辅助功能权限
- 重置这些权限,无论何时或如何授予
- 通过日志记录创建安全遥测以检测潜在攻击尝试
此方法提供超越PPPC配置文件单独提供的独特安全优势:
- 移除在安全态势强化之前授予的权限
- 确保即使先前授权Zoom的用户也无法被利用
- 每15分钟运行时,创建持续验证不存在权限
- 一些组织可能偏好要求用户为合法用例明确重新授权远程访问,然后自动移除权限
对于具有多样化用户群体的安全团队,这代表务实的中间立场。与其完全阻止远程控制功能(可能偶尔必要),脚本允许临时、有意识地使用该功能,同时防止在使用之间可能被利用的持久访问。
当权限移除事件在正常操作期间出现在日志中时,这是强烈指示用户正尝试合法使用远程控制功能(需要调查和潜在教育)或攻击尝试正在进行。此可见性创建有价值的安全遥测,帮助在策略违规和潜在攻击尝试成功之前识别它们。
通过清除Zoom实现最大保护
对于高安全环境或处理加密货币的组织,最直接的方法是彻底从系统中移除Zoom。此消除策略基于简单原则:未安装的软件无法被利用。对于处理特别敏感数据或加密货币交易的组织,通过完全消除Zoom客户端降低的风险通常超过使用基于浏览器替代方案的轻微不便:
- 移除ELUSIVE COMET依赖的应用程序
- 确保没有剩余组件可能在攻击中被利用
- 移除所有潜在持久性机制,包括偏好设置和缓存数据
- 保证用户不会意外暴露自己于此风险
当结合鼓励基于浏览器会议参与的策略时,使用uninstall_zoom.bash清除Zoom提供对抗ELUSIVE COMET攻击方法的最强保护。
额外安全建议
除了特定Zoom缓解措施外,我们推荐这些额外防御措施:
培训用户识别视频通话中的社会工程策略:虽然这主要是Zoom权限模型的技术问题,用户意识仍然重要。培训员工识别视频通话中的异常权限请求——特别是请求系统控制的请求。为员工创建简单心理模型:“没有合法业务流程应要求给予他人控制您计算机的权限。”建立协议,要求在授予任何人远程控制之前进行二次验证(如致电IT),即使是看似可信的联系人。
跨通信渠道实施全面IoC监控:部署如Material Security或Sublime Security的电子邮件安全工具,使能够搜索整个组织中来自已知威胁行为者的通信。当新指标发布时(如本文中的指标),这些工具允许安全团队快速识别组织中是否有人被针对。尽管这些攻击主要发生在社交媒体上,攻击者最终需要通过电子邮件发送日历邀请——如果您有正确的监控工具,则创建可检测足迹。
**为媒体露面和外