微軟office漏洞再次被惡意利用,傳播惡意軟體
一、介紹
FireEye的研究人員最近觀察到攻擊者利用Microsoft Office中相對較新的漏洞傳播Zyklon HTTP惡意軟體。自2016年初以來,Zyklon一直在活躍,其功能複雜多樣。
Zyklon是一個公開的全功能後門,能夠進行鍵盤記錄、口令收集、下載和執行額外插件、執行分散式拒絕服務(DDoS)攻擊以及自更新和自清除。如果配置許可的話,惡意軟體可通過洋蔥路由器(Tor)網路與其命令和控制(C2)伺服器通信。惡意軟體可以從瀏覽器和電子郵件軟體下載若干插件,其中一些插件包含加密貨幣挖掘和口令恢復等功能。Zyklon還提供了一個非常有效的機制來監控傳播和影響。
二、感染途徑
我們已經觀察到最近一波的Zyklon惡意軟體主要通過垃圾郵件傳播。電子郵件通常會附帶一個包含惡意DOC文件的ZIP文件(圖1顯示了一個示例誘餌)。電信、保險、金融服務行業是此次攻擊的主要目標。
三、攻擊流程
1,發送攜帶ZIP附件的垃圾郵件到受害者郵箱,ZIP附件中包含惡意的DOC文件。
2,文檔文件利用了至少三個已知的Microsoft Office漏洞,我們將在感染技術一節中討論這些漏洞。在有漏洞的環境中執行後,基於PowerShell的payload將會接管。
3、PowerShell腳本負責從C2伺服器下載最終的payload並執行。
直觀的攻擊流和執行鏈參見圖2。
四、感染技術
CVE-2017-8759
FireEye在2017年9月發現了這個漏洞,這是我們發現的一個在野外被利用的漏洞。DOC文件中包含一個嵌入的OLE對象,執行後觸發另外一個從存儲的URL中下載的DOC文件,(如圖3所示)。
CVE-2017-11882
同樣,我們也觀察到攻擊者利用Microsoft Office中另一個新近發現的漏洞(CVE-2017-11882)。在打開惡意的DOC附件後,會從嵌入的OLE對象內一個存儲的URL觸發另外的下載(見圖4)。
下載的文件doc.doc是一個XML,包含一條PowerShell命令(如圖6所示)用來下載二進位Pause.ps1文件。
動態數據交換 (DDE)
動態數據交換(DDE)是進程間的通信機制,用於執行遠程代碼。藉助PowerShell腳本(如圖7所示),下載下一階段的payload(Pause.ps1)。
我們觀察到的一個獨特方法是使用無點的IP地址(例如:hxxp:// 258476380)。
圖8顯示了下載Pause.ps1的網路通信。
五、Zyklon投遞
所有這些技術中,相同的域名被用於下載下一階段的payload(Pause.ps1)——另一個Base64編碼的PowerShell腳本(如圖8所示)。
Pause.ps1腳本負責解析代碼注入所需的API以及包含注入的shellcode,其中的API包括VirtualAlloc()、memset()和CreateThread()。圖9顯示了Base64解碼後的代碼。
注入代碼負責從伺服器下載最終的payload(參見圖10)。最後一個階段的payload是用.Net編譯的PE可執行文件。
運行之後,執行以下行為:
1、拷貝副本至%AppData% svchost.exe svchost.exe,並釋放一個XML文件,其中包含Task Scheduler的配置信息(如圖11所示)。
2、通過進程挖空解壓縮內存中的代碼。MSIL文件的.Net資源部分包含打包的核心payload。
3、解壓後的代碼是Zyklon。
Zyklon惡意軟體首先使用如下域名檢索受感染機器的外網IP:
api.ipify.orgnip.anysrc.netnmyexternalip.comnwhatsmyip.comn
Zyklon可執行文件在其名為tor的.Net資源部分中包含另一個加密文件,該文件被解密並注入到InstallUtiil.exe的一個實例中,命名為Tor anonymizer函數。
六、指揮與控制通信(C&C)
Zyklon的C2通信通過Tor網路進行代理。惡意軟體向C2伺服器發送POST請求,參數為getkey = y,C2伺服器由存儲在文件內存中的gate.php追加。為響應此請求,C2伺服器回應一個Base64編碼的RSA公鑰(如圖12所示)。
與C2伺服器建立連接後,惡意軟體可以使用表1所示的命令與其控制伺服器進行通信。
下圖顯示了「settings」(圖13)、「sign」(圖14)和「ddos」(圖15)命令的初始請求和隨後的伺服器響應。
七、插件管理
Zyklon從C2伺服器上下載了很多插件。插件URL以如下格式存儲在文件中:
/plugin/index.php?plugin=<Plugin_Name>
在Zyklon惡意軟體內存中找到以下插件:
/plugin/index.php?plugin=cuda
/plugin/index.php?plugin=minerd
/plugin/index.php?plugin=sgminer
/plugin/index.php?plugin=socks
/plugin/index.php?plugin=tor
/plugin/index.php?plugin=games
/plugin/index.php?plugin=software
/plugin/index.php?plugin=ftp
/plugin/index.php?plugin=email
/plugin/index.php?plugin=browser
下載的插件注入到:WindowsMicrosoft.NETFrameworkv4.0.30319RegAsm.exe。
八、額外功能
Zyklon惡意軟體通過插件提供以下額外功能:
瀏覽器口令恢復
Zyklon HTTP可以從以下流行的web瀏覽器中恢復密碼:
Google Chrome
Mozilla Firefox
Internet Explorer
Opera Browser
Chrome Canary/SXS
CoolNovo Browser
Apple Safari
Flock Browser
SeaMonkey Browser
SRWare Iron Browser
Comodo Dragon Browser
FTP 口令恢復
Zyklon目前支持從以下FTP應用程序中恢復FTP密碼:
FileZilla
SmartFTP
FlashFXP
FTPCommander
Dreamweaver
WS_FTP
遊戲軟體密鑰恢復
Zyklon可以恢復以下PC遊戲軟體密鑰:
Battlefield
Call of Duty
FIFA
NFS
Age of Empires
Quake
The Sims
Half-Life
IGI
Star Wars
Email口令恢復
Zyklon也可從以下應用程序收集email口令:
Microsoft Outlook Express
Microsoft Outlook 2002/XP/2003/2007/2010/2013
Mozilla Thunderbird
Windows Live Mail 2012
IncrediMail, Foxmail v6.x – v7.x
Windows Live Messenger
MSN Messenger
Google Talk
GMail Notifier
PaltalkScene IM
Pidgin (Formerly Gaim) Messenger
Miranda Messenger
Windows Credential Manager
License密鑰恢復
惡意軟體會自動檢測和解密200多種流行的軟體(包括Office、SQL Server、Adobe和Nero)的license/序列號密鑰。
Socks5 代理
Zyklon能夠在受感染的主機上建立一個反向的Socks5代理伺服器。
劫持剪貼板比特幣地址
Zyklon有能力劫持剪貼板,並用攻擊者的控制伺服器提供的地址替換用戶複製的比特幣地址。
九、Zyklon 價格
研究人員發現了不同版本Zyklon HTTP在一個大眾黑市的廣告價:
普通版本:$ 75(美元)
Tor版本:125美元(美元)
重建/更新:15美元(美元)
付款方式:比特幣(BTC)
十、結論
攻擊者結合使用了最近在流行軟體(微軟Office)中發現的漏洞,這樣就會增加感染成功的概率。該類型的威脅表明——為什麼確保所有軟體都完全更新非常重要。此外,所有行業都應該保持警惕,因為威脅行為者極有可能會擴大目標範圍。
在本文寫作之時,FireEyeMulti Vector Execution (MVX) engine已能夠識別並阻止此類威脅,表2按產品列出了當前能檢測和阻止的功能。
十一、IoC指標
誘餌樣本
表3: Zyklon誘餌樣本
Network指標
154.16.93.182
85.214.136.179
178.254.21.218
159.203.42.107
217.12.223.216
138.201.143.186
216.244.85.211
51.15.78.0
213.251.226.175
93.95.100.202
warnono.punkdns.top
本文翻譯自:https://www.fireeye.com/blog/threat-research/2018/01/microsoft-office-vulnerabilities-used-to-distribute-zyklon-malware.html ,如若轉載,請註明原文地址: http://www.4hou.com/info/news/10026.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※他用腳本存儲了兩百萬GB視頻,只是為了測試雲存儲是否真的「無限」
※網路犯罪分子越來越擅長使用先進的身份驗證方法
※移位溢註:告別依靠人品的偏移注入
※小白學習環境的構架基礎
※行業安全:最全家用智能設備安全性測試報告
TAG:信息安全 |