深入分析利用宏代碼傳播NetwiredRC和Quasar RAT的惡意RTF文檔

對於惡意軟體作者來說，他們總能想出一些出其不意的方法來誘使用戶執行自己的惡意文檔。最近，ThreatLabZ團隊通過一種獨特的方法，深入考察了攻擊者發動的一波社會工程攻擊。具體來說，他們首先通過惡意RTF文檔強制用戶執行嵌入的VBA宏代碼，而這些代碼一旦執行，就會投遞Quasar RAT和NetWiredRC有效載荷，從而進入感染周期。

這些宏代碼位於惡意RTF文檔內的Excel工作表中，其作用就是下載其他的有效載荷。RTF文檔的擴展名為.doc，使用Microsoft Word中打開該文檔時，會彈出宏警告窗口(見圖1)，通常來說，用戶可以通過該窗口來啟用或禁用宏指令。但是，對於這個惡意RTF文檔來說，就算用戶在系統第一次發出警告的時候就單擊了「Disable Macros（禁用宏）」按鈕，Word仍會不停彈出警告窗口。

Fig1: 彈出的宏警告窗口

實際上，用戶根本沒有辦法阻止這些彈出窗口，除非單擊啟用宏的按鈕，或者強制退出Word。當前，這個惡意的RTF會彈出10個警告窗口，因為該文件內有10個嵌入的Excel工作表（參見圖2；黃色圓點指示的是嵌入的Excel工作表）。

圖2：RTF文檔的內容

為了達到連續彈出警告窗口的目的，惡意軟體作者為嵌入式Excel工作表對象（OLE對象）使用了objupdate控制項[1]（見圖3）。這個函數會觸發嵌入式Excel工作表內的宏代碼，也就是說，每當該RTF文檔被載入MS Word應用程序時，宏代碼就會被執行，這樣就會彈出多個警告窗口了。

圖3：RTF中的objupdate控制項

需要注意的是，雖然在CVE-2017-0199漏洞利用代碼[2]中也使用了這個objupdate控制項，但是，當前的這個惡意文檔尚未使用該漏洞或任何其他漏洞。

圖4：感染流程

惡意宏代碼分析

在這次攻擊活動中，我們發現該惡意宏代碼出現了兩個變種（見圖5）。當然，兩個宏代碼變種的作用是相同的，只不過分別使用Schtasks和cmd.exe執行PowerShell命令，最終都會下載中間有效載荷（請參見圖6）。

圖5：宏代碼

圖6：PowerShell命令

這個惡意軟體還通過修改註冊表來實現Word、PowerPoint和Excel的宏命令的永久啟用。

中間有效載荷

這裡的宏代碼使用PowerShell下載惡意VBS文件，並將其保存在％PUBLIC％文件夾中，文件名為svchost32.vbs。

這個惡意的VBS代碼（圖7）會執行以下操作：

第1步

終止所有正在運行的Microsoft Word和Excel進程實例。

（使用HTTPS協議）下載最終有效載荷，並將其保存在％PUBLIC％文件夾中，文件名為svchost.exe。

執行下載的有效載荷。

圖7：經過反混淆處理的惡意VBS代碼

第2步

通過修改註冊表，啟用宏並禁用Microsoft Word、PowerPoint和Excel（適用於版本11-16，版本13除外）的視圖保護設置。

第3步

創建一個名為「WindowsUpdates」的計劃任務，在200分鐘後運行該有效載荷（svchost32.vbs）。

第4步

刪除由宏代碼創建的「WindowsUpdate」計劃任務。

第5步

下載其他有效載荷並將其保存在％PUBLIC％文件夾中名為svchosts.exe的文件中。但在分析該惡意代碼過程中，發現它並沒有下載這個有效載荷，由此可以推斷，這個功能已經在最近的變體中被刪除了。

最終有效載荷

我們發現，NetwiredRC和QusarRat惡意軟體是該攻擊活動中的最終有效載荷。實際上，這兩個軟體都是遠程管理工具（RAT）。QusarRat是一個開源工具[3]，具有遠程錄像、遠程Shell和鍵盤記錄功能；而NetwiredRC則具有查找文件、遠程shell、鍵盤記錄、屏幕截圖、密碼竊取等功能。

IOCs

小結

Zscaler ThreatLabZ團隊正在積極跟蹤和檢測這些有效載荷，以確保我們的客戶免受惡意RTF文檔和其他通過社交工程傳播的惡意軟體的侵害。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！