通過iqy文件傳播FlawedAmmyy惡意軟體

攻擊者在不斷尋找新的技術來傳播惡意軟體，最近研究人員發現一種通過iqy文件傳播惡意軟體的新方法。截止目前，已經發現有通過word文檔、腳本文件、Java文件、IQY文件傳播惡意軟體的案例。

圖1: 攻擊鏈

IQY文件是一種Excel Web Query（excel web查詢）文件，用於從互聯網下載數據。其中含有通過網路進行查詢所需的參數。感染源是垃圾郵件或魚叉式釣魚攻擊活動，一般含有PDF或IQY附件，用於傳播惡意軟體。這些文件在攻擊者傳播FlawedAmmyy RAT（remote access trojan遠程訪問木馬）時都用到了。

圖2: 垃圾郵件

用戶在收到含有PDF或iqy文件附件的垃圾郵件後，一旦點擊pdf文件，就會出現打開嵌入的iqy文件的彈窗，如下圖所示：

圖3: PDF附帶的iqy文件

Pdf附件中含有從pdf文件中導出iqy文件的腳本，exportDataObject函數會顯示一個「open file」的對話框，保持用戶參與文件導出的過程。函數還含有打開附件的輸入參數。

這個例子中，importDataObject函數用於將iqy文件導入，並命名為13082016.iqy。下面是iqy文件中打開附件的代碼：

this[exportDataObject] ({ cname: 「13082016.iqy」, nLaunch:2})

cName參數是必須輸入的，指定了需要導出的特定的文件附件。nLaunch的值為2，會將acrobat保存附件為臨時文件，然後請求操作系統打開該文件。這就是代碼打開pdf中的附件的原理。

圖4: PDF文件中的腳本

在點擊打開文件後，Excel會自動打開iqy文件，然後開啟從文件中的URL處取回內容。但Excel不允許從伺服器下載數據，所以會有安全檢查，為了運行文件，需要點擊enable。

圖5: 安全檢查

開啟安全檢查後，iqy文件會下載到受害者設備的%temp%目錄，然後執行。下圖是含有URL和參數的iqy文件示例。

圖6: IQY文件

iqy文件執行後，會啟用命令行開始一個Powershell進程。該過程運行powershell腳本無文件執行，如下圖：

圖7: PowerShell命令

PowerShell命令保存在excel文檔的A0位置，並執行。然後執行一個powershell命令，命令會從腳本中的URL處下載一個字元串，並用IEX參數執行。

圖8: PowerShell腳本

PowerShell腳本會下載和執行可執行文件—— FlawedAmmyy後門。FlawedAmmyy RAT從2016年開始活躍，含有常見後門的所有功能，包括遠程控制機器、管理文件、截屏。該木馬是利用Ammyy Admin遠程桌面軟體的version 3版本源碼創建的，目前已經影響銀行和汽車行業。

結論

攻擊者在不斷的尋找新的傳播惡意軟體的方法，IQY文件就是其中之一，所以應該儘早準備預防這類感染。用戶在打開可疑郵件的附件時需要提高警惕。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！