如何通過惡意宏劫持桌面快捷方式提供後門
多年以來,一直都有攻擊者使用惡意宏來傳播惡意軟體,並且還設計出了各種方法來讓這種技術變得更加有效。近期,研究人員觀察到了一種更加隱蔽的基於宏的攻擊活動,在這個攻擊活動中,攻擊者會利用宏來搜索用戶系統中的特定快捷方式,並利用它們來下載惡意軟體。當用戶點擊了修改後的桌面快捷方式後,下載下來的惡意軟體將會被執行。
惡意軟體執行之後,它會恢復原始的快捷方式並打開本應打開的應用程序。接下來,惡意軟體會編譯其Payload。需要注意的是,在攻擊過程中它並不會使用自製的工具,它會從網上下載各種Windows工具(例如WINRAR和Ammyy Admin)來收集信息,並通過SMTP將數據發送給遠程C2伺服器。
雖然惡意宏和下載下來的惡意軟體並不算複雜,但這種方法還算是比較有意思的,因為從簽名信息來看,這種方法還在進化之中。
下圖顯示的是惡意軟體感染鏈:
惡意文檔
這種攻擊技術的感染鏈起點是一個惡意文檔,該文檔的文字語言為俄語,並且帶有一張房屋的照片,其中的內容會引導用戶啟用宏來打開完整的文檔:
這是因為微軟為了避免安全風險,默認是禁用該功能的,一旦啟用了宏功能,用戶的電腦將有可能受到惡意代碼的攻擊。
宏文件在劫持桌面快捷方式時起到什麼作用?
用戶啟用宏功能後,惡意代碼會嘗試搜索桌面快捷方式,並替換相應的鏈接文件。它主要針對的是五種快捷方式,即Skype、Google Chrome、MozillaFirefox、Opera和IE瀏覽器,當它找到匹配目標之後,便會從Google Drive或GitHub下載相應文件名的惡意軟體。比如說,當惡意代碼查找到了Google Chrome桌面快捷方式後,它會進行以下操作:
1.在%AppData%Google創建一個目錄;
2.下載Payload,存儲到%AppData%Googlechrome_update.exe;
3.如果.NET Framework不存在:hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/chrome_update;
4.如果.NET Framework存在:hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/chrome_update;
5.查找目標快捷方式,刪除鏈接;
6.創建一個新的指向已下載Payload的鏈接並替換目標鏈接:.TargetPath =%AppData%Googlechrome_update.exe。
除此之外,它還會修改快速啟動欄的鏈接,步驟如下:
1.在%AppData%MicrosoftInternet ExplorerQuick LaunchUserPinnedTaskBar中尋找跟Google或GoogleChrome相關的文件名;
2.跟之前一樣,修改快捷方式圖標對應的鏈接地址,將其指向惡意軟體;
上述步驟完成之後,當用戶點擊快捷方式圖標時,惡意軟體將會被執行。
惡意服務的運行以及如何掩蓋攻擊痕迹
執行之後,惡意軟體會在目標系統的system32或SysWoW64目錄中存放WpmPrvSE.exe (標記為TROJ_DLOADER.COGBA),然後開啟一個名叫WPM Provider Host的服務。下圖即為該服務的相關屬性:
除此之外,它還會在system32或SysWoW64目錄中存放rar.exe和一個註冊表鍵以備後續使用。最終,它會恢復之前替換的桌面以及快速啟動欄的快捷方式文件,並掩蓋其攻擊痕迹。
惡意服務如何工作?
惡意軟體在運行過程中會激活相應的惡意服務,該服務首先會將其下載RAR文檔(從Google Drive或GitHub)的時間間隔設置為1小時。然後使用之前下載的WinRAR工具來打開文檔,其中包含一個安裝包文件、一些配置文件以及其他需要使用到的工具。
服務會運行RAR文檔中的installer.exe(標記為HKTL_RADMIN),Installer.exe會使用certutil命令行程序,接下來會對壓縮文檔中的wsvchost.key進行解碼,解碼為wsvchost.exe。wsvchost.exe實際上是Ammyy Admin 3.5,即一款眾所周知的RAT遠程管理工具:
接下來,惡意軟體會運行stop_ammmyy.ps1這個Shell腳本,並強制讓Ammyy進程終止運行。目前我們還無法判斷這一部分在整個攻擊鏈中的具體作用,因為在之前的惡意軟體版本中並沒有這一步驟。
與此同時,installer文件還會開啟另一個名叫WSVCHost的服務,該服務會運行wsvchost.exe(Ammyy Admin 3.5),並使用procdump從內存中導出跟WSVCHost相關的進程信息:
完成上述步驟之後,惡意軟體會使用certutil對導出數據進行編碼,然後使用WinRAR將導出文件壓縮為兩個文件(dump1.txt.img和dump2.txt.img),並將它們存放在一個名叫「treasure」的目錄中(C:WindowsSystem32send_treasure)。
接下來,惡意軟體會通過SMTP協議並將導出數據+系統信息+執行日誌以附件的形式發送給攻擊者(郵件伺服器:rambler.ru/meta.ua,埠:465)。攻擊者在這裡使用了兩個不同的郵件伺服器,表明攻擊者想要確保數據能夠成功發送。
實踐建議
微軟之所以禁用宏功能,是有實際意義的,現在很多惡意軟體都會在宏文件中嵌入惡意代碼,而用戶在啟用了宏功能並點擊了惡意文檔之後,就毫無「招架之力」了。因此,我們建議廣大用戶在收到了未知來源的文件後,不要輕易開啟宏功能。
入侵威脅指標IoC
SHA256:
SHA256 | 檢測名 |
|---|---|
| 0181A985897F1FA66EDE98CC04E97B05387743DE198C2DCF4667FA4FDE7779C1 | HKTL_RADMIN |
| 20B05A17623A7E74F7CFE4296BA79CFF8CA6B3EA64F404661B7BC46AB603511C | HKTL_RADMIN |
| 2864B1B7417AACC13A4277D8CB9C94B5A04420F6CCC1CC4DFD3BE4D369406383 | HKTL_RADMIN |
| 2B3CD4D85B2B1F22D88DB07352FB9E93405F395E7D0CFE96490EA2BC03A8C5FF | HKTL_RADMIN |
| 3B85E737965020D82CDC0890F1243732B71977117CDF310554E9DD91B78BFE63 | HKTL_RADMIN |
| 451C4C3FBF5AEC103833FA98D942B1876D9CE84575A00757562489921BC1D396 | HKTL_RADMIN |
| 45B2580DB6D13720014753813EB69C1AA0EFFBD100BB80E5A07D75447489BA0F | HKTL_RADMIN |
| 7730A98FD698F1043184992F1CA349EA1BDFD33D43A0ECE2CD88F9F6DA2E37D1 | HKTL_RADMIN |
| 804D883661BA51CEC97135F9F33C1FA9084384783D59A4F55D496E2901C20289 | TROJ_DLOADER.COGBA |
| 96A4F844D7102D0EE757CAA1719F1CD95D1386E61EB7C694020D6CF14B546880 | HKTL_RADMIN |
| 9EAC92BEC146CE9CEF096105F6531F2EE4C2E1A14507F069728A1022ECDCDEDD | HKTL_RADMIN |
| A4B25E5E72FC552E30391D7CD8182AF023DC1084641D93B7FA6F348E89B29492 | HKTL_RADMIN |
| A9FC2B6F8BC339742268BAC6C02843011EBB670114A786A71FF0FA65397AC9C6 | HKTL_RADMIN |
| C57BF08C414900B5B4AD907272A606D6695C14DC2ACC0264ECA53840EEE3F3F4 | HKTL_RADMIN |
| C9B7C2189D3CEA05A666C45043812D832BED60CFCB8A97222BCA9AFC53B3D229 | HKTL_RADMIN |
| CC60DAE1199C72543DD761C921397F6E457FF0440DA5B4451503BFCA9FB0C730 | HKTL_RADMIN |
| d904495737dfe33599c0c408855f6d0dd9539be4b989eb5ab910eb6ab076d9ef | W2KM_DLOADER.FODAM |
攻擊第一階段的鏈接:
攻擊第一階段 |
|---|
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1eoZvAJNwYmj97bWhzVLUVIt0lAqWKssD&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1f84hF8spepIVwTMAQU0nYs-6o9ZI3yjo&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1G7pfj4X3R4t8wq_NyCoE2pMYFo-TIkI9&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1GofUo_21wAidnNek5wIqTEH65c5B4mYl&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1NfIqI9SJedlNn02Vww8rd5F73MfLlKsJ&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1NgMUcD8FzNTEi45sNc6Cp-VG-EnK_uL-&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1NStRbzXtC4Vwv2qZ0CjrJYbk5ENFmQv_&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1tBu1-SVAdWQccETb_AxAhBR3CLIrjkOU&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1TjywdxSZfENUorSHyjVDprOsT8Sq1_SW&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1Xhx22-OVqg-ZcpwU6bVBdP9lWZfzyFzB&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1yC0rtWErmwTTyLO3VuP33pgLkfzy0xik&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1YqlYbFUObMjRBvNFfjwkdSJTpxU-rMVy&export=download |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/chrome_update |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/chrome_update |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/firefox_update |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/iexplorer_update |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/opera_update |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/dotnet/updater |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/firefox_update |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/iexplorer_update |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/opera_update |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/updater |
攻擊第二階段的鏈接:
攻擊第二階段 |
|---|
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1lcw-cN9o3NkR6zkeHrDHg-WiUhHBi1wK&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1OhTA1K04zKFaKw7omXJbmN8_S2VmIcdD&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1okynNTx2kEvx1gBQsmmB3OuS0wQ3A3uE&export=download |
| hxxps://drive[.]google[.]com/uc?authuser=0&id=1ZFcguS1z4bSCpnMibYZZ8KHdFtN6hscM&export=download |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/winhost[.]img |
| hxxps://raw[.]githubusercontent[.]com/microsoftstorage/vsto/master/winhost[.]ver |
| hxxps://raw[.]githubusercontent[.]com/modernconceptplanet/vsto/master/winhost[.]img |
| hxxps://raw[.]githubusercontent[.]com/modernconceptplanet/vsto/master/winhost[.]ver |
*參考來源:trendmicro,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM
※假偽劣黑產鏈面前拼多多只是個孩子,TA才是巨人
※AsiaSecWest 2018首日紀實,黑客與極客界的最強大腦
TAG:FreeBuf |