在企業日常的資安威脅中,許多攻擊往往不是依賴複雜的漏洞,而是利用系統中長期存在、卻鮮少被注意的功能。此篇文章聚焦於資安廠商Cofense最新揭露的一種攻擊手法,說明駭客如何濫用Windows檔案總管內建的WebDAV遠端檔案存取功能,誘使使用者連線至遠端伺服器並下載惡意程式。文章指出,WebDAV原本是一種建立於HTTP/1.1之上的擴充協定,目的是讓使用者可以像操作本機磁碟一樣,在網路上讀取、寫入、刪除或移動伺服器上的檔案,因此過去常被用於遠端檔案管理或網路儲存。然而隨著雲端服務普及,WebDAV使用率逐漸下降,微軟甚至已在2023年宣布逐步淘汰此功能。但文章提醒,儘管WebDAV逐漸式微,Windows檔案總管仍然原生支援該協定,這使得它成為駭客可利用的潛在攻擊入口。
文章進一步解析攻擊者如何透過多種方式啟動WebDAV連線,使受害者在不知情的情況下存取遠端伺服器。根據研究人員的觀察,使用者可以在Windows檔案總管中透過三種主要途徑連線至WebDAV伺服器,包括直接在網址列輸入遠端WebDAV伺服器的IP位址或網域名稱(例如file://連結)、使用URL捷徑檔,以及透過LNK捷徑檔。文章特別指出,LNK檔不僅能指向檔案或資料夾,也能包含指令,例如呼叫PowerShell或Command Prompt下載惡意程式。當這些連線被開啟時,遠端伺服器中的資料夾會以類似本地網路磁碟的形式顯示在檔案總管中,使使用者誤以為這些檔案來自內部網路或可信來源,進而降低警覺心。研究顯示,自2024年2月以來,約有87%的相關攻擊案例最終導致受害者下載遠端存取木馬(RAT),其中最常見的包括XWorm RAT、AsyncRAT與DcRAT。攻擊活動主要鎖定歐洲企業,尤其是行政與財務相關人員,駭客透過偽裝為請款單或商業文件的電子郵件誘導收件者下載惡意檔案,郵件語言以德文與英文為主,亦包含義大利文與西班牙文。
除了利用Windows系統功能降低防備之外,此篇文章也揭露攻擊者如何透過Cloudflare Tunnel服務進一步隱匿攻擊來源。研究人員發現,多起攻擊行動中,駭客會利用Cloudflare提供的Tunnel功能建立臨時的WebDAV伺服器,並透過示範帳號將本地伺服器快速暴露到網際網路上,同時隱藏實際IP位址。由於相關流量會經由合法且廣泛使用的Cloudflare基礎架構傳輸,加上這些WebDAV伺服器通常只存在短時間,資安團隊在事前偵測與事後追蹤分析時都面臨更高難度。文章也提醒,即使Windows在使用者嘗試開啟網路檔案時會顯示警示訊息,許多使用者仍可能忽略這些提示,因此企業資安管理者應加強教育訓練,提醒員工在透過檔案總管存取遠端資源時,務必檢查網址來源,如同在瀏覽器上網時檢視網址安全性一樣,並避免從不明的網路磁碟或陌生的資料夾下載檔案,以降低這類社交工程與惡意程式攻擊帶來的風險。
