警惕Excel4.0宏病毒攻击

一、前言

近期，360企业安全-安全能力中心捕获到一起针对特定行业进行定向攻击的案例，攻击者通过向目标人员投递带有“攻击代码”的Excel表格文件，一旦受害者打开表格则会自动下载运行疑似Ammyy的远程控制木马。

图1即是带有“攻击代码”表格附件的原始邮件截图，

图1,攻击邮件截图

二、样本分析
1. Excel附件
传播载体采用excel文档进行传播，打开excel文档，提示启用宏，但是查看宏代码却没有任何VBA代码，如图1，在启用内容之后，确实执行了木马下载启动过程，通过过查看文件数据，发现包含C2下载相关字符串。

图2,无常规宏代码

通过观察二进制文件内容，可以看到存储的攻击代码，如图3所示

图3,二进制中存储的攻击代码

通过分析发现，样本实则使用的是Excel 4.0 (XLM) 宏命令，非传统的VBA宏，为逃避检测，攻击者还对包含宏的工作表进行了隐藏，实际的恶意宏代码内容如图4所示。

图4,Excel 4.0 宏

恶意的宏代码执行后，通过msiexec.exe下载安装一个通过exetomsi工具转换过的msi安装包，该安装包实则是一个远控木马下载器，启动后会检测安全软件进程，如果存在则不再执行后续工作。

2. 下载器

图5,检测安全软件进程

判断当前是否处在域环境中，如果为工作组模式，则停止进一步操作，退出进程，如图5。

图6,判断本机是否在域环境中

同时清理病毒历史版本，清理相关文件、启动项等信息，为部署新版本远控做准备。如图7、8。

图7,删除相关文件、目录

图8,删除相关服务

检查清理工作完成后，下载器从hxxp://31.41.47.190/s.dat下载并存储到ProgramData\MicrosoftsHeIp\template_XXXX.DATAHASH，此文件为加密状态的远控文件。

图9,下载远控文件

下载完成后会读取文件进行解密，机密完成后写入并执行wsus.exe。

图10,启动远控进程

当下载器具有管理员权限时，采用服务方式对远控核心进行持久化，没有管理员权限时，采用计划任务和注册表方式进行持久化。

图11,服务方式持久化

图12,计划任务和注册表方式持久化

最后，通过CMD命令删除下载器自身，防止被发现。

图13,删除下载器自身

3. 远控木马
通过Loader下载解密释放的wsus.exe为远控核心，启动后远控与C2服务器169.239.129.104:80建立通讯。

图14,远控上线

握手包中，第一个字节始终为“=”，后跟35个混淆和SEAL加密的字节。服务器响应（0x2d00）后，受感染的客户端发送第二个数据包。

.

图15,通信数据

字段

内容

id

长度为8，第一位始终是5，其余位数在远控初始化时随机产生

os

系统版本

priv

当前运行权限类型

cred

当前登录用户名

pcname

计算机名

avname

存在的反病毒工具名

card

智能卡插入读卡器状态

build_time

从磁盘上的文件中读取PE时间戳字段，在运行时获取的恶意软件构建时间

表1,通信字段含义

表1是与控制服务器通信时所对应的字段含义。

4. 疑似Ammyy
通过分析发现该远控与已泄露的Ammyy源码非常相似，其功能包含远程文件管理、语音、远程屏幕、代理等功能此处不再赘述。

图16,疑似泄露的Ammyy远控

三、总结
本次攻击的传播载体采用非VBA形式的Excel 4.0(XLM) 宏进行伪装，弃用了宏病毒一贯使用的CMD、POWERSHELL执行命令的方式，使用msiexec启动msi文件的方式运行病毒下载器最终植入远控。面对邮件式钓鱼的攻击，企业用户到底该如何去防御？其实仅需按照“预防为主，综合防范”的原则，如:

1.     增强人员的安全意识。

2.     不要打开来历不明的邮件附件。

3.     安装杀毒软件，定期扫描电脑，及时升级更新病毒库保持杀毒软件的良好运行。

IOC
185[.]128[.]213[.]12

31[.]41[.]47[.]190

185[.]231[.]155[.]59

169[.]239[.]129[.]104

MD5

文件类型

588E52444284D810CF9C3CD684361ED7


EXCEL载体

4E8BB95BD598EDF78F42F52DFCBE0D53

EXCEL载体

DF582EFA2A459EA7D642E86D15023D55

EXCEL载体

50AE6A226E775169415D20FC3C0467A5

Loader

FFDCF4497B09D7275EC38B1A343E7923

Loader

4F886585A96861EB2F2AE95ED0A9288B

加密的远控核心

496538CA26CB7B9BB4791ABD9919D9E7

远控核心


来源 360威胁情报中心  

了解了   

小心Ammyy的远程控制木马。