Office漏洞被用於傳播FELIXROOT後門

攻擊活動詳情

2017年9月，FireEye的研究人員發現針對烏克蘭的工具活動中使用FELIXROOT後門作為payload，該攻擊活動中包括惡意的烏克蘭銀行文檔，該文檔中含有可以下載FELIXROOT的宏文件。近期，研究人員發現該後門被用於一起新的攻擊活動中。這次，聲稱含有研討會信息的武器化的誘餌文檔利用了Office CVE-2017-0199（WORD/RTF嵌入OLE調用遠程文件執行漏洞）和CVE-2017-11882（Office遠程代碼執行漏洞）兩個漏洞在受害者機器上釋放和執行後門二進位文件。

圖1: 攻擊概覽

惡意軟體通過用Office漏洞武器化的惡意文檔進行傳播，如圖2所示。惡意文檔名稱是「Seminar.rtf」，攻擊者利用CVE-2017-0199漏洞從193.23.181.151下載第二階段payload；下載的文件通過CVE-2017-11882漏洞武器化。

圖2: 誘餌文件

圖3: Seminar.rtf中嵌入的URL的十六進位形式

圖4是嘗試下載二階段Seminar.rtf的一階段payload。

圖4: 下載二階段Seminar.rtf

下載的Seminar.rtf文件含有嵌入的二進位文件，嵌入文件是通過公式編輯器釋放到%temp%文件夾中的。該文件會在%temp%目錄釋放可執行文件（MD5: 78734CD268E5C9AB4184E1BBE21A6EB9），可執行文件是用來執行FELIXROOT釋放器組件（MD5: 92F63B1227A6B37335495F9BCB939EA2）的。

釋放的可執行文件（MD5: 78734CD268E5C9AB4184E1BBE21A6EB9）在PE二進位覆蓋區含有壓縮的FELIXROOT釋放器組建。一旦執行，就會創建兩個文件，分別是指向%system32%
undll32.exe的LNK文件和FELIXROOT載入器組件。然後，LNK文件會被移動到開始目錄。圖5是LNK文件中用於執行FELIXROOT載入器組件的LNK文件。

圖5: LNK文件中的命令

嵌入的後門組件會用定製的加密方法加密，加密文件的解密和載入是在內存中進行的，不會在硬碟上留下痕迹。

技術細節

在成功利用漏洞之後，釋放器組件會執行並釋放載入器模塊。載入器模塊是通過RUNDLL32.EXE執行的。然後後門組件會在內存中載入，並有一個輸出函數。

後門中的字元串是通過與4位元組的key進行XOR運算進行加密的。對ASCII碼字元串的解密邏輯如圖6所示。

圖6: ASCII解密路徑

對Unicode字元串的解密邏輯如圖7所示。

圖7: Unicode解密路徑

執行後，會創建一個線程，而後門本身會休眠10分鐘。然後檢查後門有沒有通過RUNDLL32.exe和參數#1載入。如果惡意軟體通過RUNDLL32.exe和參數#1載入，然後在與C2通信前進行初步系統分類。初步系統分類從通過ROOTCIMV2命名空間連接Windows Management Instrumentation (WMI)開始。

圖8: 後門組件的初始執行過程

表1「ROOTCIMV2」和「RootSecurityCenter2」命名空間引用的類。

表1: 引用的類

使用的WMI查詢和註冊表

1.SELECT Caption FROM Win32_TimeZone

2.SELECT CSNAME, Caption, CSDVersion, Locale, RegisteredUser FROM Win32_OperatingSystem

3.SELECT Manufacturer, Model, SystemType, DomainRole, Domain, UserName FROM Win32_ComputerSystem

註冊表是從潛在的管理提權和代理信息中讀取的。

1.查詢註冊表 「SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem 」是為了檢查ConsentPromptBehaviorAdmin和PromptOnSecureDesktop的值。

2.查詢註冊表「SoftwareMicrosoftWindowsCurrentVersionInternet Settings」 是為了收集含有ProxyEnable, Proxy: (NO), Proxy, ProxyServer值的代理信息。

表2是FELIXROOT後門的一些功能，每個命令都是以單獨線程執行的。

表2: FELIXROOT後門命令

圖9: 命令執行後的日誌

網路連接

FELIXROOT通過HTTP和HTTPS POST協議與C2進行通信。網路上發送的數據會通過特殊的結構進行排列和加密。所有的數據都通過AES進行加密，然後進行Base 64編碼，再發送給C2伺服器。

圖10:發送給C2伺服器的POST請求

其他包括User-Agents, Content-Type, Accept-Encoding在內的其他request/response header域都進行XOR加密了。惡意軟體會查詢Windows API來獲取計算機名、用戶名、硬碟序列號、Windows版本、處理器架構和兩個其它值，這兩個值是1.3和KdfrJKN。KdfrJKN應該是用來識別該攻擊活動，可以在文件的JSON對象中看到，如圖11。

圖11: 通信中的主機信息

FELIXROOT後門再進行C2通信時有三個參數，每個參數都提供目標機器上任務的信息。

表3: FELIXROOT後門的參數

加密方法

所有傳輸給C2伺服器的數據都使用AES加密，傳輸給lbindCtx COM介面的數據使用HTTP或HTTPS協議。每個通信使用不同的AES key，並使用兩個RSA公鑰之一進行加密。

圖12: RSA公鑰1

圖13: RSA公鑰2

圖14: AES加密參數

加密後，發送給C2的明文通過Base 64編碼。圖15是發送給伺服器的數據結構，圖16是用於C2通信的數據結構化表示。

圖15: 用於發送數據給伺服器的結構

圖16: 用於發送數據給C2伺服器的結構

該結構是用CryptBinaryToStringA函數轉變為base 64編碼的。

FELIXROOT後門對特定的任務含有很多命令。每個任務執行後，惡意軟體在執行下一個任務時會休眠1分鐘。一旦所有任務都執行完成，惡意軟體就會打破循環，發回termination buffer（中止緩存），清除目標系統上的痕迹：

1.從開始目錄刪除LNK文件；

2.刪除註冊表HKCUSoftwareClassesApplications
undll32.exeshellopen

3.刪除系統中的釋放組件。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！