关于网络犯罪分子利用Microsoft的快速助手功能进行勒索软件攻击的分析

　　Microsoft威胁情报团队表示，它已经观察到一个名为Storm-1811的威胁行为者滥用客户端管理工具Quick Assist在社会工程攻击中瞄准用户。攻击链涉及通过语音网络钓鱼使用冒充来诱骗毫无戒心的受害者安装远程监控和管理(RMM)工具，然后交付QakBot、Cobalt Strike，并最终交付Black Basta勒索软件。

　　一、基本内容

　　威胁行为者会发起链接列表攻击，这是一种电子邮件轰炸攻击，其中目标电子邮件地址注册了各种合法的电子邮件订阅服务，以用订阅的内容淹没他们的收件箱。然后，攻击者通过给目标用户打电话伪装成公司的IT支持团队，声称在修复垃圾邮件问题方面提供帮助，并通过快速助手授予他们访问其设备的权限。一旦用户允许访问和控制，威胁行为者就会运行脚本化的cURL命令来下载一系列用于传递恶意有效载荷的批处理文件或ZIP文件。Storm-1811利用他们的访问权限并执行进一步的动手键盘活动，例如域枚举和横向移动。然后使用PsExec在整个网络中部署Black Basta勒索软件。

　　二、分析研判

　　Microsoft的快速助手功能本是一个合法的应用程序，旨在通过远程连接帮助用户解决技术问题。然而，最近网络犯罪集团Storm-1811却滥用这一功能进行勒索软件攻击。他们通过精心策划的社会工程攻击，诱导用户安装远程监控和管理工具，并利用快速助手获取用户设备的访问权限。一旦获取权限，攻击者便下载恶意有效载荷，执行进一步的网络活动，并最终部署Black Basta勒索软件。这一事件不仅凸显了网络安全的重要性，也提醒用户在使用远程协助工具时需保持警惕，避免成为网络犯罪的受害者。同时，Microsoft也需加强对快速助手等工具的安全性审查，确保用户数据的安全。

　　三、应对策略

　　1、增强安全意识：用户应警惕不明来源的电话和电子邮件，不轻易授予远程访问权限。

　　2、定期更新和打补丁：确保操作系统和应用程序都是最新版本，以减少潜在的安全漏洞。

　　3、使用反钓鱼和反恶意软件工具：安装和更新反钓鱼和反恶意软件工具，以帮助识别和阻止此类攻击。

　　4、限制Quick Assist的使用：仅在必要时使用Quick Assist，并确保仅与受信任的人员共享访问权限。