歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

小心偽裝成用戶調研文檔的釣魚郵件攻擊

來源:本站整理 作者:佚名 時間:2019-11-07 TAG: 我要投稿

一、背景
騰訊安全御見威脅情報中心捕獲到一例偽裝成某公司的用戶投訴調研文檔的釣魚郵件攻擊。黑客在投遞的惡意文檔中嵌入惡意宏代碼,一旦用戶在打開文檔時選擇執行宏,就會在用戶電腦上執行一段Powershell,通過多次解碼后,執行Poweshell版開源遠控木馬powerfun。該遠控木馬采用Powershell實現,可作為控制端段或被控端運行,安裝后會搜集系統信息上傳,下載安裝其他模塊,執行任意遠程指令。
為了掩蓋其行動,黑客精心偽裝攻擊文檔內容,使得其與真實的用戶調研文檔十分相似。同時其中嵌入的惡意Powershell代碼經過多層混淆,采用“無文件”的攻擊方式來保證攻擊過程不易被發現。
二、詳細分析
載荷投遞
打開文檔時microsoft office程序提示文檔中被嵌入的宏被禁用,問詢是否啟用內容,一旦啟用,惡意代碼便會執行。

文檔標題:HSS Hire Services Complaint form(HSS Hire服務投訴表)。引語:(譯文)“我們致力于提供高質量的護理和服務以滿足您的需求,我們重視您的反饋,包括投訴。請告訴我們還有哪些地方可以改進我們的服務。“

根據該文檔的導航信息,文檔內容包含6個部分,各部分主題分別如下:
第1部分:客戶詳情。
第2部分:請提供反饋涉及的服務的詳細信息。
第3部分:請詳細說明你的反饋問題。
第4部分:你對這個問題已經采取了哪些行動?
第5部分:你希望通過提供反饋得到什么樣的結果?
第6部分:聲明(簽字和日期)。

從文檔中提取出宏代碼,可以看到在AutoOpen()函數中定義了一個字符串變量veqTMFKmz,并在變量中通過拼接的方式賦值Powershell -ec “xxxxx”,最終執行一段經過base64編碼的命令。

在Powershell代碼執行時,還會通過MsBox()提示一段話,告訴用戶文檔創建時使用的microsoft office版本過低導致,需要聯系作者將文檔另存為一個新的格式,以此來掩蓋其惡意代碼執行過程。用于迷惑用戶的提示內容如下:
"This application appears to have been made with an older version of the Microsoft Office product suite. Please have the author save this document to a newer and supported format. [Error Code: -219]"

base64編碼的Powershell命令解碼后如下,該命令將核心代碼重新進行base64編碼,并且以命令 powershell -noexit -e  “xxxxxxx”的格式執行。

核心代碼首先通過DllImport引入了四個系統函數:
callocmemsetVirtualProtectCreateThread
然后利用引入的函數calloc申請內存,memset將二進制代碼寫入內存,VirtualProtect修改內存為可執行屬性,最后CreateThread創建線程指向該片內存執行惡意代碼。

而創建線程執行的惡意代碼為另一段經過壓縮編碼的Powershell命令,該段命令解壓后為公開的Powershell實現的遠控木馬powerfun
(github地址: https[:]//github.com/rapid7/metasploit-framework/blob/master/data/exploits/powershell/powerfun.ps1)。

遠控木馬
木馬通過參數設置通信類型及方式,“bind” 設置為綁定443端口,作為控制端進行監聽連接請求,”reverse”反向連接服務器,作為被控端建立連接。”Sslcon“為是否采用SSL協議連接。此次代碼設置的控制端服務器端地址為34.65.251.183:443。

接著獲取用戶名和機器名上傳,根據列表下載模塊安裝,以及循環讀取接受到的Powershell命令執行。

三、安全建議
1、建議不要打開不明來源的郵件附件,對于郵件附件中的文件要謹慎運行,如發現有腳本或其他可執行文件可先使用殺毒軟件進行掃描;
2、建議升級office系列軟件到最新版本,對陌生文件中的宏代碼堅決不啟用;
3、推薦企業用戶部署騰訊御點終端安全管理系統防御病毒木馬攻擊,個人用戶啟用騰訊電腦管家的安全防護

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.fhetww.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        江西十一选五走势图爱彩乐