關注我們
QRcode 郵件聯系

利用Office宏及Powershell的針對性攻擊樣本分析

 feng  2,438 ℃  0條點評


背景

         人在做,天在看。

利用Powershell執行攻擊由于其繞過現有病毒查殺體系的有效性,已經成為目前日益泛濫的攻擊手段,不論普遍撒網的勒索軟件還是定向的針對性攻擊都有可能采用。360天眼實驗室一直對此類樣本做持續的監測, 5月份以來,我們注意到一類比較特別的樣本,發現其有兩個比較鮮明的特點。

1.利用Excel表格存放誘餌數據,偽造警告欺騙用戶啟用宏,宏代碼會從表格中讀取出數據,然后釋放并執行;

2. 使用Powershell腳本通過DNS請求來傳輸數據,將數據寫成批處理文件(.bat)再執行,執行完畢將結果通過同樣的方式回傳,然后刪除痕跡。如此實現遠程控制功能,并且控制方式上非常隱蔽。

FireEye公司在5月22日發布了一篇關于此類樣本和相關攻擊行動的分析報告,詳細地分析了實現上的技術細節,指稱這是一次針對中東地區銀行的定向攻擊。進入6月以后,我們還發現了一些新的同類型樣本被提交。

利用Office宏及Powershell的針對性攻擊樣本分析

注意到這些樣本在VT上查殺率十分低,截止我們完成這篇文章時,僅為2/56:

利用Office宏及Powershell的針對性攻擊樣本分析

有趣的是,我們發現這些新的樣本代碼雖然與之前的幾乎一樣,只是刪除了一些注釋并改變了C&C域名,而在代碼中添加了一段特別的注釋,見下圖,其用意倒值得猜測。

利用Office宏及Powershell的針對性攻擊樣本分析

樣本分析

概述

         我們得到的木馬樣本基本信息如下,2016年6月15日被提交到VirusTotal上。

MD5:3e63d55f1e44a71041311c44e34baaa9

文件名:final345.xls

樣本是一個嵌入宏的Excel文件,文件被打開后為打開了宏的狀態,則宏中的惡意代碼會釋放一個vbs和一個ps1腳本文件。其中vbs主要功能是從服務器下載文件并執行,然后再將指定目錄的文件上傳到服務器;而ps1則是一個利用DNS請求獲取數據執行遠程命令的惡意腳本。

執行細節

         打開xls文件后,可以看到攻擊者偽造了一個警告:

利用Office宏及Powershell的針對性攻擊樣本分析

這時候第一行第25、26列的單元格內容是被設置為不可見的,但是可以從內容欄中看到數據,如果點擊啟用內容,那么宏里的惡意代碼就會執行起來。

宏代碼

利用Office宏及Powershell的針對性攻擊樣本分析

上圖中的宏代碼功能主要描述如下:

1.從表格中第1行第25列(也就是[1,Y])的單元格中讀取數據并調用powershell執行,寫入到%public%/Library/fireeye.vbs中。

2.從表格中第1行第26列(也就是[1,Z])的單元格中讀取數據并調用powershell執行,寫入到%public%/Library/fireeye.ps1中。

3.創建目錄%public%/Library/up、dn、tp。

4.將釋放的fireeye.vbs加入計劃任務.

值得注意的是,5月份出現的樣本中最后會將表2顯示出來,表2中有一些用于迷惑用戶的數據,而這次的樣本表2中是沒有任何數據的。

利用Office宏及Powershell的針對性攻擊樣本分析

fireeye.vbs

fireeye.vbs的功能是用powshell從服務器下載文件到%Public%/Libraries/dn目錄下,接著下載bat文件到/dn目錄下并執行,然后將%Public%/Libraries/up目錄下的文件上傳到服務器,最后刪除這些文件,并啟動fireeye.ps1。具體流程如下:

1.從 http://update-kernal.net/update-index.aspx?req=2062203590/dwn&m=d下載文件并保存在 %PUBLIC%/Libraries/dn/目錄下,保存的文件名在服務器響應的Content-Disposition字段的filename中取得。

2.從 http://update-kernal.net/update-index.aspx?req=2062203590/bat&m=d 獲取批處理文件的內容,Base64編碼后執行并將結果保存為 %PUBLIC%/Libraries/up/[RandomNumber].txt,重命名這個TXT文件,重命名文件名在服務器響應的Content-Disposition字段的filename中取得。

3.將TXT文件經過Base64編碼后,上傳至http://update-kernal.net/update-index.aspx?req=2062203590/upl&m=u ,上傳后將文件刪除。

4.執行fireeye.ps1。

相關代碼如下:

利用Office宏及Powershell的針對性攻擊樣本分析

fireeye.ps1

fireeye.ps1是一個巧妙利用DNS請求來接收命令和傳輸數據的腳本??傮w行為如下:

l獲取用于標識身份的ID

l通過獲取DNS解析的IP地址 ,每次接收4個字節,寫入批處理文件中

l執行批處理文件,輸出結果到TXT文件

l發送TXT到服務器

l清理痕跡

利用Office宏及Powershell的針對性攻擊樣本分析

關鍵代碼如下,因為服務器已經將子域名的A記錄解析到不同的IP地址,一個IP地址恰好能表達4個字節的數據,樣本可以通過不斷地拼接不同的子域名去獲取到對應的IP地址也就是數據。

利用Office宏及Powershell的針對性攻擊樣本分析

解析命令代碼如下:

利用Office宏及Powershell的針對性攻擊樣本分析

與之前的樣本相比,獲取子域名代碼也作了一些修改:

lww00000[Base36(RandomNumber)]30.update-kernel.net:獲取標識身份的id

lww[id]00000[Base36(RandomNumber)]30.update-kernel.net: 發起會話

lww[id]00000[Base36(RandomNumber)] 232A[filename][i].update-kernel.net: 接收命令

lww[id][upfilename][Base36(filelen)][filecontext] .update-kernel.net: 上傳文件

利用Office宏及Powershell的針對性攻擊樣本分析

幕后團伙

現在C&C服務器已經不能正常返回數據,但是我們可以從第二步解析的地址中獲取到一些相關信息:

利用Office宏及Powershell的針對性攻擊樣本分析

樣本中C&C的主域名為

update-kernal.net,解析到IP 5.39.112.87,通過查詢360威脅情報中心,此IP相關的標簽包含有“OilRig”,此標簽來自Palo Alto Networks在5月份發布的一篇報告,與FireEye的文章一致的是指稱相同的攻擊目標。因此,在威脅情報中心的update-kernal.net域名相關的條目也被標記上OilRig標簽。

利用Office宏及Powershell的針對性攻擊樣本分析

在PAN的報告中所涉及的樣本所連接的域名go0gie.com,也解析到5.39.112.87,可見我們得到的樣本無論從代碼和所涉及的網絡基礎設施都與之前所揭露出來的攻擊活動一致,構成已知攻擊活動的一部分。

IOC

類型

C&C域名

update-kernal.net

總結

查殺工具與惡意代碼的攻防競賽一直在進行中,在PE文件被作為嚴防死守對象的今天, Office宏、VBS,Powershell、Javascript等非PE的腳本攻擊載荷由于方便進行加密混淆而有很好的免殺性,對抗惡意代碼的廠商有必要采取更多的手段來應對此類威脅。

參考鏈接

https://www.fireeye.com/blog/threat-research/2016/05/targeted_attacksaga.html

http://researchcenter.paloaltonetworks.com/2016/05/the-oilrig-campaign-attacks-on-saudi-arabian-organizations-deliver-helminth-backdoor/

本文由 360安全播報 原創發布,如需轉載請注明來源及本文地址。
本文地址:http://bobao.#/learning/detail/2899.html

本文標簽:
WAFNinja:一款繞過WAF的滲透測試工具
Java反序列化集成工具
Joy:一款用于捕獲和分析網絡內部流量數據的工具Joy:一款用于捕獲和分析網絡內部流量數據的工具One-Lin3r:懶人的福音,滲透測試單行化工具One-Lin3r:懶人的福音,滲透測試單行化工具EvilURL v2.0一個生成用于釣魚攻擊的IDN域名的工具EvilURL v2.0一個生成用于釣魚攻擊的IDN域名的工具國產網站惡意代碼監測(網馬監控)工具優化版國產網站惡意代碼監測(網馬監控)工具優化版

已有0條評論,歡迎點評!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

國際慣例, 沙發拿下 . . .


河北家乡麻将下载 亿客隆 (★^O^★)MG疯狂麻将援彩金 新快3新快3开奖结果直播 国家准备叫停高频彩吗 (★^O^★)MG冰穴客户端下载 mg电子游戏摆脱 淘宝快3开奖直播 (★^O^★)MG糖果游行游戏 (★^O^★)MG幸运狮子游戏 (*^▽^*)MG赌徒_豪华版 吉林快3形态跨度 (^ω^)MG阿拉斯加垂钓怎么玩容易爆分 (★^O^★)MG八宝一后新手攻略 (^ω^)MG埃及王朝_官方版 体彩6场半全场胜负投注比例 (^ω^)MG水果vs糖果_豪华版