惡意軟體利用Windows組件WMI和CertUtil攻擊巴西

研究人員最近發現一款濫用合法Windows文件wmic.exe 和certutil.exe下載payload到受害者設備上的惡意軟體。wmic.exe是Windows命令行工具， certutil.exe是管理Windows證書的程序。惡意軟體濫用這些合法Windows服務來進行惡意用途。

雖然WMI和CertUtil在之前的攻擊活動中就被用過，但這次的攻擊活動將這些文件融合到其日常活動，並增加了反檢測層。這說明攻擊活動背後的網路犯罪分子正在不斷發展和進化其工具和技術。

圖1: 攻擊感染鏈

活動分析

攻擊是從一個惡意郵件開始的，惡意郵件看似來源於一家巴西的國家郵政公司，郵件內容是通知郵件接收者包裹未投遞成功。然後開源通過郵件中嵌入的鏈接查看詳情。

圖2: 含有惡意鏈接的郵件

接收者一旦點擊郵件中嵌入的鏈接，就會打開一個瀏覽器窗口讓用戶下載一個zip文件。一旦zip文件下載並提取，用戶就會看到一個LNK文件（Trojan.LNK.DLOADR.AUSUJM）。然後LNK文件會用下面的參數執行cmd.exe：

/k start /MIN %WINDIR$\system32\wbem\WMIC.exe os get /format && exit

cmd.exe負責通過下面的參數執行wmic.exe：

os get /format

這一動作允許wmic.exe下載和執行來自C2伺服器的腳本命令。然後在%temp%文件夾中創建一個名為certis.exe.的certutil.exe副本。這一步好像是以一種額外的繞過技術執行的，因為certutil.exe在之前的攻擊活動已經出現過了。

下一步是一個命令certis.exe從C2伺服器集中下載文件的腳本，這也是從第一個下載URL中接收的。

其中一個下載的文件是主payload，一個用regsvr32.exe執行的DLL文件（TSPY_GUILDMA.C）。其他下載的文件用作主payload的一個模塊。

研究人員對主payload的分析顯示這是一個銀行木馬，其語言被設置為葡萄牙語，也就是說涉及的攻擊目標位於葡萄牙語國家，包括葡萄牙和巴西。

攻擊預防

使用合法文件來增加額外的繞過層是網路犯罪分子常用的一種技術，這也是安全研究人員面臨的一大問題。

用戶也可以通過應用郵件安全最佳實踐來預防攻擊，包括：

·檢查郵件發件人身份和郵箱地址。含有奇怪和隨機數字的郵件地址一般都可能是垃圾郵件或釣魚攻擊。

·掃描郵件內容是否有語法錯誤或拼寫錯誤。來自政府機構和大型企業的商業郵件一般都很專業，極少出現語法錯誤或拼寫錯誤。

·盡量不要點擊郵件中的鏈接，也不要通過郵件中的鏈接下載文件。

IoCs

Trojan.LNK.DLOADR.AUSUJM (LNK文件)

·695e03c97eaed0303c9527e579e69b1ba280c448476edcf97d7a289b439fa39a

TSPY_GUILDMA.C (DLL文件)

·d60db526c41356b43d4b916c6913f137d2f2eeb8b1d7472b5c24e3af311d486b

·6852e458e3837c5b2e1354ed9bc5205878c0e94f1211da075dcc6305845fbc33

C2伺服器

·hxxp://ewyytrtw4646934[.]eririxab[.]com:25041/03/marxvxinhhmg[.]gif[.]zip?17563326

·hxxp://ewyytrtw4646934[.]eririxab[.]com:25041/03/marxvxinhhmgx[.]gif[.]zip?658140462

·hxxp://ewyytrtw4646934[.]eririxab.com:25041/03/r1[.]log

·hxxp://ewyytrtw4646934[.]eririxab.com:25041/03/marxvxinhhm98[.]dll[.]zip?52828157

·hxxp://ewyytrtw4646934[.]eririxab.com:25041/03/marxvxinhhmhh[.]dll[.]zip?974411041

·hxxp://ewyytrtw4646934[.]eririxab.com:25041/03/marxvxinhhmhh[.]dll[.]zip?895017548

·hxxp://exxxwrtw6115614[.]kloudghtlp[.]com:25056/09/v131[.]xsl?4463977

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！