您的位置:首頁 > 區(qū)塊鏈 >

攻擊誘餌文件攜帶Excel 4.0 XLM宏代碼 可偽裝為HelloWorld的惡意程序

2019-08-30 09:48:51 來源: 巴比特

一、概述近日,騰訊安全御見威脅情報中心捕獲到一起針對某大型數(shù)字加密幣交易平臺客服人員發(fā)起的魚叉式定向攻擊。攻擊者自稱為幣圈資深用戶

一、概述近日,騰訊安全御見威脅情報中心捕獲到一起針對某大型數(shù)字加密幣交易平臺客服人員發(fā)起的魚叉式定向攻擊。攻擊者自稱為幣圈資深用戶,由于對該交易平臺客服不滿,進而對比了該平臺與其競爭關系的xx平臺,并列出多條建議在郵件附件中,希望該平臺做出改進。

郵件附件中包含了一個名為“客服和xx投訴對比和記錄2019.xls”的電子表格文件,該文件為攻擊誘餌文件,攜帶Excel 4.0 XLM宏代碼,當接收郵件的客服人員打開該文件,且允許執(zhí)行其中的宏代碼,宏代碼將拉取一個偽裝為HelloWorld的惡意程序執(zhí)行,最終經過多層惡意代碼解密,執(zhí)行Cobalt Strike遠控后門。

針對數(shù)字加密幣公司的定向攻擊流程

一旦客服人員機器被成功植入木馬,攻擊者則可以輕易的獲取到交易平臺內部信息資料,甚至通過該客服機器作為跳板機,入侵交易所內部核心機密數(shù)據(jù),最終導致平臺遭受不可預估的損失。最壞的情況下,可能導致交易平臺數(shù)字虛擬幣被盜。數(shù)字虛擬幣大規(guī)模被盜的事件在幣圈曾頻繁發(fā)生,每次都會引起數(shù)字虛擬幣市值的極大波動。

通過攻擊目標企業(yè)安全意識薄弱職位的相關人員,在APT攻擊中往往能取得不錯的成效。例如攻擊者通常通過對攻擊目標客服人員發(fā)送咨詢/建議郵件,對銷售人員發(fā)送訂單信息/采購郵件,對人力資源人員發(fā)送簡歷信息郵件,對法務人員發(fā)送律師函等。

騰訊安全團隊此前捕獲到的:《御點截獲針對某大型商貿企業(yè)的定向商業(yè)APT攻擊》,也同樣使用了類似的手法。(鏈接:https://mp.weixin.qq.com/s/kusT8mArumwmuRaiAtdRWA)

攻擊郵件示例

攻擊文檔示例

總結一下本次攻擊的特點:

事件基礎信息 針對某區(qū)塊鏈數(shù)字加密幣交易平臺的APT攻擊
影響客戶和行業(yè) 數(shù)字加密幣交易平臺公司
攻擊路徑 魚叉郵件攻擊,利用社會工程學誘騙目標打開內嵌惡意宏代碼的攻擊文件。
主要技術特點 1.誘餌文檔利用Excel 4.0 XLM惡意宏代碼;

 

2.社會工程學利用,誘導目標啟用宏代碼;

3.XLM惡意宏代碼拉取一個偽裝為HelloWorld(偽裝成常用的測試程序名,欺騙性更強)的惡意程序執(zhí)行,經過多層惡意代碼解密執(zhí)行,最終釋放RAT遠控木馬;

4.遠控木馬的持久化運行,攻擊者實現(xiàn)對目標網(wǎng)絡的入侵和信息竊取。

二、技術分析

Excel 4.0惡意宏利用使用Office2010打開惡意文檔,可看到雖然有宏提示,但無法看到宏代碼(使用了Excel 4.0宏技術)。表格內容通過提示需點擊“啟用內容”進一步查看表格詳細內容,進而誘導被攻擊者啟用宏。

誘餌文檔極具迷惑性

Microsoft很早就使用VBA宏來代替Excel 4.0宏技術,這導致Excel 4.0宏并不為大眾所熟知。文檔中右鍵點擊標簽頁,取消隱藏選擇auto后,可看到其Excel 4.0-XLM宏代碼,宏內容隱藏在表格中,主要功能為通過將d列表格內容寫入文件null.hta,然后通過rundll32執(zhí)行null.hta。

右鍵標簽頁取消隱藏工作表,選中auto

之后可看到表格中隱藏的宏代碼

也可使用oletools直接提取宏

下圖為整理后的null.hta代碼,主要功能為從鏈接(hxxp://close.webredirect.org/age.png)處下載圖片文件到本地ProgramData目錄下命名為A164C0BF-67AE-3C7E-BC05-BFE24A8CDB62.dat 執(zhí)行。

偽裝自身為HelloWorld的空白main函數(shù)惡意程序: 查看下載回的age.png文件,粗略看是一個Main函數(shù)為空的HelloWorld程序,攻擊者使用該手法來迷惑分析人員誤以為其只是一個測試程序。

仔細觀察可發(fā)現(xiàn)看似是HelloWorld的空白程序,其中包含了一個卸載接口函數(shù),宏代碼使用以下.net命令執(zhí)行該文件中的卸載函數(shù):

C:\Windows\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe -U C:\Windows\..\ProgramData\A164C0BF-67AE-3C7E-BC05-BFE24A8CDB62.dat

卸載接口中將執(zhí)行一段PowerShell代碼,PowerShell代碼使用Base64編碼并壓縮

解碼解壓縮后的PowerShell代碼如下,主要功能為訪問地址 Hxxp://close.webredirect.org/index.png?random,隨后將返回一個大小約200k的數(shù)據(jù)流,在內存中對返回的數(shù)據(jù)先進行Base64解碼,解碼后內容的前16字節(jié)作為RC4密鑰,使用RC4再解密剩余部分數(shù)據(jù)執(zhí)行。

進一步查看RC4解密后的PowerShell代碼如下,主要功能為釋放RAT遠控木馬,并將其設置持久化。

其中關鍵變量wlbsctrl,解碼后為一個區(qū)分x86,x64不同平臺的dll模塊,Powershell代碼通過對釋放到本地的wlbsctrl.dll進行持久化操作,而wlbsctrl.dll模塊主要功能為調用InstallUntil.exe模塊進而執(zhí)行27F31D55-D6C6-3676-9D42-C40F3A918636.dat中的卸載接口,從而實現(xiàn)間接開機啟動執(zhí)行27F31D55-D6C6-3676-9D42-C40F3A918636.dat中的惡意代碼。

關鍵變量rat解碼后查看,依然為一個HelloWorld-Main空程序,該模塊同樣使用卸載函數(shù)執(zhí)行惡意代碼,不同點為卸載接口內PowerShell內容不同,該模塊解碼后存放于用戶目錄27F31D55-D6C6-3676-9D42-C40F3A918636.dat文件中。

27F31D55-D6C6-3676-9D42-C40F3A918636.dat中的PowerShell代碼內部解密硬編碼變量DoIt執(zhí)行,解密方式依然為RC4,密鑰為Base64解碼后內容的前16字節(jié)。

對DoIt變量解密后可拿到其代碼,主要為創(chuàng)建線程,申請內存執(zhí)行payload,payload的解密方式依然為Base64解碼+RC4,與之前的不同之處為解密完成后再進行一次Base64解碼獲取最后要執(zhí)行的ShellCode。

云端拉取內存裝載執(zhí)行的ShellCode:

ShellCode代碼通過遍歷LDR找到kernel32模塊,然后獲取LoadLibraryA的地址,加載Wininet模塊,然后獲得一系列網(wǎng)絡操作函數(shù) InternetConnect, httpOpenRequest, httpSendRequest地址調用,最終向地址 192.52.167.185發(fā)送Get請求,并使用InternetReadFIle循環(huán)每次讀取0x2000字節(jié)網(wǎng)絡數(shù)據(jù)流在內存中拼接出一個完整Dll文件,Dll使用反射式裝載的方式在內存中執(zhí)行。

Cobalt Strike后門遠控DLL: 內存中可dump出的反射加載的DLL文件

觀察該Dump模塊可知為Cobalt Strike生成的DLL后門遠控攻擊模塊,Cobalt Strike攻擊模塊數(shù)據(jù)交互支持HTTP、HTTPS、DNS和SMB隧道協(xié)議,該后門支持遠程屏幕,鍵盤記錄,遠程Shell等常用的遠程控制功能。攻擊模塊通過異或0x69解密出上線配置信息。

解密可得攻擊者使用C2地址為192.52.167.185

Cobalt Strike控制端主界面如下(圖片來自官方站點),是一個具備鍵盤記錄,屏幕監(jiān)控,遠程shell的多功能的后門遠控,攻擊者可利用該木馬竊取用戶機器內重要資料,詳細資料可參考其官方站點(https://www.cobaltstrike.com)。

三、安全建議1、建議不要打開不明來源的郵件附件,除非清楚該文檔來源可靠; 2、企業(yè)要防止組織架構和員工信息的公開泄漏; 3、使用高版本完整版Ofiice,并注意安裝Office安全更新,如下圖中高版本Office會自動識別出文檔有風險,提醒用戶“編輯此文件可能損害計算機”;

4、使用殺毒軟件防御可能的病毒木馬攻擊。

IOCs

MD5

66e36f8395ab863c0722e129da19b53a 47a3bfa4c2cda547a20cfd495355ed8f 1c19ccab8237cd63b9e1f2d3b4303bc7 14be66a46b1964ba2307fe8a54baadf2 1d93f68b6d7f0b03eb137974b16e249b 95c998ebef4804e2d15dcef659d73df6

URL

hxxp://close.webredirect.org/age.png hxxp://close.webredirect.org/index.png

C2

192.52.167.185

關鍵詞: 攻擊誘餌文件 Excel 宏代碼

精選 導讀

募資55億港元萬物云啟動招股 預計9月29日登陸港交所主板

萬科9月19日早間公告,萬物云當日啟動招股,預計發(fā)行價介乎每股47 1港元至52 7港元,預計9月29日登陸港交所主板。按發(fā)行1 167億股計算,萬

發(fā)布時間: 2022-09-20 10:39
管理   2022-09-20

公募基金二季度持股情況曝光 隱形重倉股多為高端制造業(yè)

隨著半年報披露收官,公募基金二季度持股情況曝光。截至今年二季度末,公募基金全市場基金總數(shù)為9794只,資產凈值為269454 75億元,同比上

發(fā)布時間: 2022-09-02 10:45
資訊   2022-09-02

又有上市公司宣布變賣房產 上市公司粉飾財報動作不斷

再有上市公司宣布變賣房產。四川長虹25日稱,擬以1 66億元的轉讓底價掛牌出售31套房產。今年以來,A股公司出售房產不斷。根據(jù)記者不完全統(tǒng)

發(fā)布時間: 2022-08-26 09:44
資訊   2022-08-26

16天12連板大港股份回復深交所關注函 股份繼續(xù)沖高

回復交易所關注函后,大港股份繼續(xù)沖高。8月11日大港股份高開,隨后震蕩走高,接近收盤時觸及漲停,報20 2元 股。值得一提的是,在7月21日

發(fā)布時間: 2022-08-12 09:56
資訊   2022-08-12

萬家基金再添第二大股東 中泰證券擬受讓11%基金股權

7月13日,中泰證券發(fā)布公告,擬受讓齊河眾鑫投資有限公司(以下簡稱齊河眾鑫)所持有的萬家基金11%的股權,交易雙方共同確定本次交易的標的資

發(fā)布時間: 2022-07-14 09:39
管理   2022-07-14

央行連續(xù)7日每天30億元逆回購 對債市影響如何?

央行12日再次開展了30億元逆回購操作,中標利率2 10%。這已是央行連續(xù)7日每天僅進行30億元的逆回購縮量投放,創(chuàng)下去年1月以來的最低操作規(guī)

發(fā)布時間: 2022-07-13 09:38
資訊   2022-07-13

美元指數(shù)創(chuàng)近20年新高 黃金期貨創(chuàng)出逾9個月新低

由于對美聯(lián)儲激進加息的擔憂,美元指數(shù)11日大漲近1%創(chuàng)出近20年新高。受此影響,歐美股市、大宗商品均走弱,而黃金期貨創(chuàng)出逾9個月新低。美

發(fā)布時間: 2022-07-13 09:36
資訊   2022-07-13

美股三大股指全線下跌 納斯達克跌幅創(chuàng)下記錄以來最大跌幅

今年上半年,美股持續(xù)回落。數(shù)據(jù)顯示,道瓊斯指數(shù)上半年下跌15 3%,納斯達克綜合指數(shù)下跌29 5%,標普500指數(shù)下跌20 6%。其中,納斯達克連續(xù)

發(fā)布時間: 2022-07-04 09:51
推薦   2022-07-04

融資客熱情回升 兩市融資余額月內增加超344億元

近期A股走強,滬指6月以來上漲4%,融資客熱情明顯回升。數(shù)據(jù)顯示,截至6月16日,兩市融資余額1 479萬億元,月內增加344 67億元,最近一個半

發(fā)布時間: 2022-06-20 09:41
資訊   2022-06-20

4個交易日凈買入超百億元 北向資金持續(xù)流入A股市場

北向資金凈流入態(tài)勢延續(xù)。繼6月15日凈買入133 59億元后,北向資金6月16日凈買入44 52億元。自5月27日至今,除6月13日以外,北向資金累計凈

發(fā)布時間: 2022-06-17 09:37
推薦   2022-06-17