一、前言
近期,360企业安全-安全能力中心捕获到一起针对特定行业进行定向攻击的案例,攻击者通过向目标人员投递带有“攻击代码”的Excel表格文件,一旦受害者打开表格则会自动下载运行疑似Ammyy的远程控制木马。
图1即是带有“攻击代码”表格附件的原始邮件截图,
图1,攻击邮件截图
二、样本分析
1. Excel附件
传播载体采用excel文档进行传播,打开excel文档,提示启用宏,但是查看宏代码却没有任何VBA代码,如图1,在启用内容之后,确实执行了木马下载启动过程,通过过查看文件数据,发现包含C2下载相关字符串。
图2,无常规宏代码
通过观察二进制文件内容,可以看到存储的攻击代码,如图3所示
图3,二进制中存储的攻击代码
通过分析发现,样本实则使用的是Excel 4.0 (XLM) 宏命令,非传统的VBA宏,为逃避检测,攻击者还对包含宏的工作表进行了隐藏,实际的恶意宏代码内容如图4所示。
图4,Excel 4.0 宏
恶意的宏代码执行后,通过msiexec.exe下载安装一个通过exetomsi工具转换过的msi安装包,该安装包实则是一个远控木马下载器,启动后会检测安全软件进程,如果存在则不再执行后续工作。
2. 下载器
图5,检测安全软件进程
判断当前是否处在域环境中,如果为工作组模式,则停止进一步操作,退出进程,如图5。
图6,判断本机是否在域环境中
同时清理病毒历史版本,清理相关文件、启动项等信息,为部署新版本远控做准备。如图7、8。
图7,删除相关文件、目录
图8,删除相关服务
检查清理工作完成后,下载器从hxxp://31.41.47.190/s.dat下载并存储到ProgramData\MicrosoftsHeIp\template_XXXX.DATAHASH,此文件为加密状态的远控文件。
图9,下载远控文件
下载完成后会读取文件进行解密,机密完成后写入并执行wsus.exe。
图10,启动远控进程
当下载器具有管理员权限时,采用服务方式对远控核心进行持久化,没有管理员权限时,采用计划任务和注册表方式进行持久化。
图11,服务方式持久化
图12,计划任务和注册表方式持久化
最后,通过CMD命令删除下载器自身,防止被发现。
图13,删除下载器自身
3. 远控木马
通过Loader下载解密释放的wsus.exe为远控核心,启动后远控与C2服务器169.239.129.104:80建立通讯。
图14,远控上线
握手包中,第一个字节始终为“=”,后跟35个混淆和SEAL加密的字节。服务器响应(0x2d00)后,受感染的客户端发送第二个数据包。
.
图15,通信数据
字段
内容
id
长度为8,第一位始终是5,其余位数在远控初始化时随机产生
os
系统版本
priv
当前运行权限类型
cred
当前登录用户名
pcname
计算机名
avname
存在的反病毒工具名
card
智能卡插入读卡器状态
build_time
从磁盘上的文件中读取PE时间戳字段,在运行时获取的恶意软件构建时间
表1,通信字段含义
表1是与控制服务器通信时所对应的字段含义。
4. 疑似Ammyy
通过分析发现该远控与已泄露的Ammyy源码非常相似,其功能包含远程文件管理、语音、远程屏幕、代理等功能此处不再赘述。
图16,疑似泄露的Ammyy远控
三、总结
本次攻击的传播载体采用非VBA形式的Excel 4.0(XLM) 宏进行伪装,弃用了宏病毒一贯使用的CMD、POWERSHELL执行命令的方式,使用msiexec启动msi文件的方式运行病毒下载器最终植入远控。面对邮件式钓鱼的攻击,企业用户到底该如何去防御?其实仅需按照“预防为主,综合防范”的原则,如:
1. 增强人员的安全意识。
2. 不要打开来历不明的邮件附件。
3. 安装杀毒软件,定期扫描电脑,及时升级更新病毒库保持杀毒软件的良好运行。
IOC
185[.]128[.]213[.]12
31[.]41[.]47[.]190
185[.]231[.]155[.]59
169[.]239[.]129[.]104
MD5
文件类型
588E52444284D810CF9C3CD684361ED7
EXCEL载体
4E8BB95BD598EDF78F42F52DFCBE0D53
EXCEL载体
DF582EFA2A459EA7D642E86D15023D55
EXCEL载体
50AE6A226E775169415D20FC3C0467A5
Loader
FFDCF4497B09D7275EC38B1A343E7923
Loader
4F886585A96861EB2F2AE95ED0A9288B
加密的远控核心
496538CA26CB7B9BB4791ABD9919D9E7
远控核心
来源 360威胁情报中心 |
|
|
|
评论
直达楼层