缓解ELUSIVE COMET Zoom远程控制攻击 - Trail of Bits博客
我们与ELUSIVE COMET的遭遇
当我们的CEO收到参加"Bloomberg Crypto"节目的邀请时,他立即识别出这是一次复杂的社交工程攻击的特征。表面上看似合法的媒体机会,实际上是ELUSIVE COMET的最新行动——这个威胁行为者通过精心构建的社交工程攻击窃取了数百万美元的加密货币。
本文详细介绍了我们与ELUSIVE COMET的遭遇,解释了他们针对Zoom远程控制功能的攻击方法,并提供了组织可以实施的具体防御措施。
两个独立的Twitter账号联系我们的CEO,邀请参加"Bloomberg Crypto"系列节目——这种情况立即引发了危险信号。攻击者拒绝通过电子邮件沟通,并通过明显非官方Bloomberg属性的Calendly页面安排日程。这些操作异常而非技术指标揭示了攻击的本质。
ELUSIVE COMET的方法论反映了最近2月份15亿美元Bybit黑客攻击背后的技术,攻击者操纵合法工作流程而非利用代码漏洞。这强化了我们的观点:区块链行业已进入操作安全失败时代,人为中心攻击现在比技术漏洞构成更大风险。
新的ELUSIVE COMET IoCs
除了SEAL咨询中先前发布的ELUSIVE COMET IoCs外,我们还识别了与该威胁行为者基础设施相关的新账户:
- X: @KOanhHa
- X: @EditorStacy
- 邮箱: bloombergconferences[@]gmail.com
- Zoom URL: https://us06web[.]zoom[.]us/j/84525670750
- Calendly URL: calendly[.]com/bloombergseries
- Calendly URL: calendly[.]com/cryptobloomberg
组织应更新监控系统和阻止列表以包含这些新指标。
理解Zoom的远程控制功能
ELUSIVE COMET的主要攻击向量利用Zoom的远程控制功能——这是一个允许会议参与者在获得许可的情况下控制另一用户计算机的合法功能。当参与者请求远程控制时,对话框仅显示"$PARTICIPANT正在请求远程控制您的屏幕"。
攻击通过简单而有效的社交工程技巧利用此功能:
- 攻击者安排看似合法的商务通话
- 在屏幕共享期间,他们请求远程控制访问
- 他们将显示名称改为"Zoom",使请求看起来像系统通知
- 如果获得访问权限,他们可以安装恶意软件、窃取数据或进行加密货币盗窃
这种攻击特别危险的原因是权限对话框与其他无害的Zoom通知相似。习惯于点击Zoom提示中"批准"的用户可能在不知情的情况下授予对其计算机的完全控制。
为什么这种攻击会成功(即使对安全专业人员)
ELUSIVE COMET活动通过复杂的社交证明、时间压力和界面操纵组合成功利用正常业务工作流程:
- 合法上下文:攻击发生在看似正常的业务交互期间
- 界面模糊性:权限对话框未明确传达安全影响
- 习惯利用:习惯于批准Zoom提示的用户可能自动操作
- 注意力分散:受害者专注于专业对话而非安全分析
这种方法针对操作安全边界而非技术漏洞。
Trail of Bits的防御态势
我们与ELUSIVE COMET的遭遇强化了我们对深度防御策略的信念,该策略同时解决技术和操作安全领域:
端点保护:配置为"主动"安全态势的CrowdStrike Falcon Complete,具有激进的云和基于传感器的ML预防设置。即使恶意软件先前未知或无文件,此配置也能实时行为检测可疑进程活动——特别是未经授权尝试访问系统辅助功能。
操作系统安全:强制公司范围内升级到最新的主要macOS版本。Apple通过每个主要OS版本持续缩小攻击面,引入缓解漏洞类别的功能而不仅仅是修补单个错误。
认证强化:所有Google Workspace账户强制安全密钥认证。每位员工在入职时都会收到YubiKey,不允许使用较弱的认证方法(TOTP、SMS等)。
密码管理:公司范围内部署1Password,为所有员工预安装浏览器扩展。扩展的域匹配逻辑防止在不匹配域上自动填充凭据。
通信平台选择:主要使用Google Meet而非Zoom,因为其基于浏览器的安全模型。基于浏览器的通信工具继承浏览器本身的安全模型,限制对系统资源的访问。
限制性应用控制:当需要Zoom时,它会被额外的安全控制包装并定期从系统中移除。最重要的是,我们的安全团队已将Zoom远程控制功能识别为不必要的风险,并部署技术控制以防止其在我们的系统上运行。
分层防御方法
为保护组织免受此攻击向量影响,我们建议使用我们的工具实施多层保护:
| 脚本 | 目的 | 执行频率 | 目标范围 |
|---|---|---|---|
| create_zoom_pppc_profile.bash | 创建系统范围的PPPC配置文件,防止辅助功能访问 | 每台计算机一次 | 所有计算机 |
| disable_zoom_accessibility.bash | 主动检查并移除Zoom辅助功能权限 | 每15分钟 | 安装Zoom的计算机 |
| uninstall_zoom.bash | 完全从计算机群中移除Zoom | 每周 | 安装Zoom的计算机 |
使用PPPC配置文件的系统范围保护
隐私偏好策略控制(PPPC)配置文件通过在macOS系统级别阻止Zoom请求或接收辅助功能权限来提供最强保护。这直接解决了漏洞,因为Zoom的远程控制功能需要辅助功能权限才能运行——没有这些权限,远程控制能力完全禁用,中和了ELUSIVE COMET的主要攻击向量。
PPPC配置文件提供多个安全优势:
- 适用于系统上的所有用户,包括新用户账户
- 安装后普通用户无法移除
- 强制执行组织安全控制,无论用户偏好如何
- 使用代码签名验证专门针对官方Zoom应用程序
使用TCC数据库监控的主动防御
虽然PPPC配置文件为新权限请求提供主动保护,但它们不会自动撤销用户已授予Zoom的权限。这就是主动TCC数据库监控变得关键的地方——它作为"权限重置"机制,持续清理可能被利用的现有辅助功能授权。
disable_zoom_accessibility.bash脚本通过直接与macOS的透明度、同意和控制(TCC)框架交互来系统化地:
- 检测授予Zoom的现有辅助功能权限
- 重置这些权限,无论何时或如何授予
- 通过日志记录创建安全遥测以检测潜在攻击尝试
通过清除Zoom实现最大保护
对于高安全环境或处理加密货币的组织,最直接的方法是完全从系统中移除Zoom。这种消除策略基于一个简单原则:未安装的软件无法被利用。
当与鼓励基于浏览器参加会议的策略结合时,使用uninstall_zoom.bash清除Zoom提供了针对ELUSIVE COMET攻击方法的最强保护。
额外安全建议
除了特定的Zoom缓解措施外,我们推荐这些额外的防御措施:
- 培训用户识别视频通话中的社交工程技术
- 跨通信渠道实施全面的IoC监控
- 为媒体露面和外联创建明确策略
- 部署电子邮件边界控制作为品牌保护
- 培养快速信息共享文化
构建对抗人为中心攻击的弹性安全
ELUSIVE COMET活动代表了针对操作安全而非技术漏洞的威胁持续演变。随着我们进入操作安全失败时代,组织必须发展其防御态势以应对这些人为中心攻击向量。
通过实施上述多层防御方法,组织可以显著减少对此特定攻击向量的暴露,同时保持业务功能。更重要的是,此案例研究展示了在防御现代威胁时结合技术控制和操作安全意识的至关重要性。