FireEye發布調查報告，混淆技術成為了2017年攻擊者最喜歡用的技術之一

在2017年上半年，我們發現使用命令行逃逸技術和混淆技術的攻擊者數量正在顯著增加，網路間諜組織和專門針對金融領域的黑客組織仍在繼續採用最先進的應用白名單繞過技術和新型混淆技術來攻擊他們的目標（包括企業和用戶）。這些技術通常可以繞過靜態和動態分析方法，並且很好地解釋了為什麼基於簽名的檢測技術通常都會比那些創新型的攻擊者要慢一步。

2017年初，黑客組織FIN8開始使用環境變數配合PowerShell通過StdIn（標準輸入）來躲避基於命令行參數處理的安全檢測方法。在2017年2月份，FIN8在釣魚文檔「COMPLAINT Homer Glynn.doc」（ MD5:cc89ddac1afe69069eb18bac58c6a9e4）中包含了一個惡意宏，這個宏文件可以在一個環境變數（_MICROSOFT_UPDATE_CATALOG）中設置需要運行的PowerShell命令，然後在另一個環境變數（MICROSOFT_UPDATE_SERVICE）中設置字元串「powershell -」，接下來PowerShell將會運行它通過StdIn接收到的命令了。下圖顯示的是我們使用FIN8宏解碼器從惡意宏 「COMPLAINTHomer Glynn.doc」 中提取出來的FIN8環境變數命令。

為了躲避那些基於父進程-子進程關係的檢測技術，FIN8所製作的這個宏使用了WMI來生成cmd.exe的執行。因此，WinWord.exe將不會生成子進程，但系統將會生成如下進程樹：wmiprvse.exe > cmd.exe > powershell.exe。FIN8經常會使用混淆技術配合WMI來遠程執行他們的惡意軟體-POS機內存提取工具（PUNCHTRACK），而FIN8在2017年所進行的這些惡意活動只是這種逃逸技術在網路入侵領域應用的早期階段。

隨著技術的不斷發展，新型應用白名單繞過技術也在不斷湧現出來，而攻擊者也會在他們的攻擊活動中迅速採用這些技術，再配合上新型的混淆技術，他們就總是能夠領先於安全防護產品了。很多黑客組織都會利用regsvr32.exe來實現應用白名單繞過，包括APT19在2017年針對法律事務所的攻擊活動在內。

著名的網路間諜組織APT2在他們所開發的後門和攻擊腳本中也使用了混淆技術，在2017年4月份，安全研究人員發現APT32在其所採用的額外命令參數中也使用了混淆技術。APT32使用了cmd.exe混淆技術來嘗試繞過基於簽名的安全檢測技術，而並非像之前一樣使用參數「/i:http」來實現regsvr32.exe繞過。FireEye的研究人員還發現，APT32在其攻擊規則中還使用了「/i:^h^t^t^p」和「/i:h」t」t」p」這兩個參數。下圖顯示的是APT32在實現regsvr32.exe應用白名單繞過時所使用的命令混淆方法：

與此同時，黑客組織FIN7在2017年也一直保持著針對酒店和金融服務行業的攻擊熱情。為了確保自己的黑客武器庫沒有與時代脫節，FIN7在2017年4月開始使用wscript.exe來運行JavaScript Payload，並通過這個JS Payload來獲取隱藏在釣魚文件（Word.Application COM對象所使用的釣魚文件）中的額外Payload。

除此之外，JavaScript的「eval」字元串也被轉換成了「this[String.fromCharCode(101)+』va』+』l』]」。最後，他們還使用了一個cmd.exe支持的字元替換功能，而這個功能幾乎很少有人知道。wscript.exe命令也被設置在了一個進程級環境變數「x」之中，但使用了字元「@」來進行混淆處理。當「x」變數在腳本結尾輸出之後，字元「@」會被語句「%x:@=%」替換。下圖顯示的是FIN7在LNK釣魚文件中所使用的命令混淆技術:

在這個樣本中，FIN7使用了FIN8通過StdIn傳遞命令的技術，但這一次FIN7並沒有將命令發送給powershell.exe，而是發送給了cmd.exe，不過兩種方式的逃逸效果是一樣的。這種技術會暴露前三個cmd.exe的命令執行參數，如果這些環境變數設置在LNK或宏文件中並通過StdIn傳遞到了cmd.exe之中，那麼命令行界面將不會出現任何數據。

總結

就此看來，網路攻擊者仍然會繼續在惡意宏文件和命令行代碼中採用這種新型的繞過技術和混淆技術。除此之外，攻擊者此後很可能還會利用新型的混淆技術來監控目標組織的網路通信數據和終端節點，而作為網路防禦方我們也不能再依賴於單一的方法來檢測這些威脅了。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！