微軟office漏洞再次被惡意利用，傳播惡意軟體

一、介紹

FireEye的研究人員最近觀察到攻擊者利用Microsoft Office中相對較新的漏洞傳播Zyklon HTTP惡意軟體。自2016年初以來，Zyklon一直在活躍，其功能複雜多樣。

Zyklon是一個公開的全功能後門，能夠進行鍵盤記錄、口令收集、下載和執行額外插件、執行分散式拒絕服務（DDoS）攻擊以及自更新和自清除。如果配置許可的話，惡意軟體可通過洋蔥路由器（Tor）網路與其命令和控制（C2）伺服器通信。惡意軟體可以從瀏覽器和電子郵件軟體下載若干插件，其中一些插件包含加密貨幣挖掘和口令恢復等功能。Zyklon還提供了一個非常有效的機制來監控傳播和影響。

二、感染途徑

我們已經觀察到最近一波的Zyklon惡意軟體主要通過垃圾郵件傳播。電子郵件通常會附帶一個包含惡意DOC文件的ZIP文件（圖1顯示了一個示例誘餌）。電信、保險、金融服務行業是此次攻擊的主要目標。

圖1:誘餌文檔樣本

三、攻擊流程

1，發送攜帶ZIP附件的垃圾郵件到受害者郵箱，ZIP附件中包含惡意的DOC文件。

2，文檔文件利用了至少三個已知的Microsoft Office漏洞，我們將在感染技術一節中討論這些漏洞。在有漏洞的環境中執行後，基於PowerShell的payload將會接管。

3、PowerShell腳本負責從C2伺服器下載最終的payload並執行。

直觀的攻擊流和執行鏈參見圖2。

圖2: Zyklon 攻擊流程

四、感染技術

CVE-2017-8759

FireEye在2017年9月發現了這個漏洞，這是我們發現的一個在野外被利用的漏洞。DOC文件中包含一個嵌入的OLE對象，執行後觸發另外一個從存儲的URL中下載的DOC文件，（如圖3所示）。

圖3: OLE對象中嵌入的URL

CVE-2017-11882

同樣，我們也觀察到攻擊者利用Microsoft Office中另一個新近發現的漏洞（CVE-2017-11882）。在打開惡意的DOC附件後，會從嵌入的OLE對象內一個存儲的URL觸發另外的下載（見圖4）。

圖4: OLE對象中嵌入的URL

圖5: HTTP GET請求下載下一階段的payload

下載的文件doc.doc是一個XML，包含一條PowerShell命令（如圖6所示）用來下載二進位Pause.ps1文件。

圖6：下載Pause.ps1 payload的PowerShell命令

動態數據交換 (DDE)

動態數據交換（DDE）是進程間的通信機制，用於執行遠程代碼。藉助PowerShell腳本（如圖7所示），下載下一階段的payload（Pause.ps1）。

圖7：用於下載Pause.ps1 payload的DDE技術

我們觀察到的一個獨特方法是使用無點的IP地址（例如：hxxp：// 258476380）。

圖8顯示了下載Pause.ps1的網路通信。

圖8：下載Pause.ps1 payload的網路通信

五、Zyklon投遞

所有這些技術中，相同的域名被用於下載下一階段的payload（Pause.ps1）——另一個Base64編碼的PowerShell腳本（如圖8所示）。

Pause.ps1腳本負責解析代碼注入所需的API以及包含注入的shellcode，其中的API包括VirtualAlloc()、memset()和CreateThread()。圖9顯示了Base64解碼後的代碼。

圖9: Base64 解碼後的 Pause.ps1

注入代碼負責從伺服器下載最終的payload（參見圖10）。最後一個階段的payload是用.Net編譯的PE可執行文件。

圖10：下載最終payload（words.exe）的網路流量

運行之後，執行以下行為：

1、拷貝副本至％AppData％svchost.exesvchost.exe，並釋放一個XML文件，其中包含Task Scheduler的配置信息（如圖11所示）。

2、通過進程挖空解壓縮內存中的代碼。MSIL文件的.Net資源部分包含打包的核心payload。

3、解壓後的代碼是Zyklon。

圖11：用於計劃任務的XML配置文件

Zyklon惡意軟體首先使用如下域名檢索受感染機器的外網IP：

Zyklon可執行文件在其名為tor的.Net資源部分中包含另一個加密文件，該文件被解密並注入到InstallUtiil.exe的一個實例中，命名為Tor anonymizer函數。

六、指揮與控制通信（C&C）

Zyklon的C2通信通過Tor網路進行代理。惡意軟體向C2伺服器發送POST請求，參數為getkey = y，C2伺服器由存儲在文件內存中的gate.php追加。為響應此請求，C2伺服器回應一個Base64編碼的RSA公鑰（如圖12所示）。

圖12: Zyklon RSA公鑰

與C2伺服器建立連接後，惡意軟體可以使用表1所示的命令與其控制伺服器進行通信。

表1: Zyklon命令集

下圖顯示了「settings」（圖13）、「sign」（圖14）和「ddos」（圖15）命令的初始請求和隨後的伺服器響應。

圖13: Zyklon 發出「settings」 命令及隨後伺服器的響應

圖14: Zyklon發出「sign」 命令及隨後伺服器的響應

圖15: Zyklon 發出 「ddos」命令及隨後伺服器的響應

七、插件管理

Zyklon從C2伺服器上下載了很多插件。插件URL以如下格式存儲在文件中：

/plugin/index.php?plugin=

在Zyklon惡意軟體內存中找到以下插件：

/plugin/index.php?plugin=cuda

/plugin/index.php?plugin=minerd

/plugin/index.php?plugin=sgminer

/plugin/index.php?plugin=socks

/plugin/index.php?plugin=tor

/plugin/index.php?plugin=games

/plugin/index.php?plugin=software

/plugin/index.php?plugin=ftp

/plugin/index.php?plugin=email

/plugin/index.php?plugin=browser

下載的插件注入到：WindowsMicrosoft.NETFrameworkv4.0.30319RegAsm.exe。

八、額外功能

Zyklon惡意軟體通過插件提供以下額外功能：

瀏覽器口令恢復

Zyklon HTTP可以從以下流行的web瀏覽器中恢復密碼：

Google Chrome

Mozilla Firefox

Internet Explorer

Opera Browser

Chrome Canary/SXS

CoolNovo Browser

Apple Safari

Flock Browser

SeaMonkey Browser

SRWare Iron Browser

Comodo Dragon Browser

FTP 口令恢復

Zyklon目前支持從以下FTP應用程序中恢復FTP密碼：

FileZilla

SmartFTP

FlashFXP

FTPCommander

Dreamweaver

WS_FTP

遊戲軟體密鑰恢復

Zyklon可以恢復以下PC遊戲軟體密鑰：

Battlefield

Call of Duty

FIFA

NFS

Age of Empires

Quake

The Sims

Half-Life

IGI

Star Wars

Email口令恢復

Zyklon也可從以下應用程序收集email口令：

Microsoft Outlook Express

Microsoft Outlook 2002/XP/2003/2007/2010/2013

Mozilla Thunderbird

Windows Live Mail 2012

IncrediMail, Foxmail v6.x - v7.x

Windows Live Messenger

MSN Messenger

Google Talk

GMail Notifier

PaltalkScene IM

Pidgin (Formerly Gaim) Messenger

Miranda Messenger

Windows Credential Manager

License密鑰恢復

惡意軟體會自動檢測和解密200多種流行的軟體（包括Office、SQL Server、Adobe和Nero）的license/序列號密鑰。

Socks5 代理

Zyklon能夠在受感染的主機上建立一個反向的Socks5代理伺服器。

劫持剪貼板比特幣地址

Zyklon有能力劫持剪貼板，並用攻擊者的控制伺服器提供的地址替換用戶複製的比特幣地址。

九、Zyklon 價格

研究人員發現了不同版本Zyklon HTTP在一個大眾黑市的廣告價：

普通版本：$ 75（美元）

Tor版本：125美元（美元）

重建/更新：15美元（美元）

付款方式：比特幣（BTC）

十、結論

攻擊者結合使用了最近在流行軟體（微軟Office）中發現的漏洞，這樣就會增加感染成功的概率。該類型的威脅表明——為什麼確保所有軟體都完全更新非常重要。此外，所有行業都應該保持警惕，因為威脅行為者極有可能會擴大目標範圍。

在本文寫作之時，FireEyeMulti Vector Execution (MVX) engine已能夠識別並阻止此類威脅，表2按產品列出了當前能檢測和阻止的功能。

表2：FireEye產品目前的檢測能力

十一、IoC指標

誘餌樣本

表3: Zyklon誘餌樣本

Network指標

154.16.93.182

85.214.136.179

178.254.21.218

159.203.42.107

217.12.223.216

138.201.143.186

216.244.85.211

51.15.78.0

213.251.226.175

93.95.100.202

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！