標籤:

微軟office漏洞再次被惡意利用,傳播惡意軟體

一、介紹

FireEye的研究人員最近觀察到攻擊者利用Microsoft Office中相對較新的漏洞傳播Zyklon HTTP惡意軟體。自2016年初以來,Zyklon一直在活躍,其功能複雜多樣。

Zyklon是一個公開的全功能後門,能夠進行鍵盤記錄、口令收集、下載和執行額外插件、執行分散式拒絕服務(DDoS)攻擊以及自更新和自清除。如果配置許可的話,惡意軟體可通過洋蔥路由器(Tor)網路與其命令和控制(C2)伺服器通信。惡意軟體可以從瀏覽器和電子郵件軟體下載若干插件,其中一些插件包含加密貨幣挖掘和口令恢復等功能。Zyklon還提供了一個非常有效的機制來監控傳播和影響。

二、感染途徑

我們已經觀察到最近一波的Zyklon惡意軟體主要通過垃圾郵件傳播。電子郵件通常會附帶一個包含惡意DOC文件的ZIP文件(圖1顯示了一個示例誘餌)。電信、保險、金融服務行業是此次攻擊的主要目標。

圖1:誘餌文檔樣本

三、攻擊流程

1,發送攜帶ZIP附件的垃圾郵件到受害者郵箱,ZIP附件中包含惡意的DOC文件。

2,文檔文件利用了至少三個已知的Microsoft Office漏洞,我們將在感染技術一節中討論這些漏洞。在有漏洞的環境中執行後,基於PowerShell的payload將會接管。

3、PowerShell腳本負責從C2伺服器下載最終的payload並執行。

直觀的攻擊流和執行鏈參見圖2。

圖2: Zyklon 攻擊流程

四、感染技術

CVE-2017-8759

FireEye在2017年9月發現了這個漏洞,這是我們發現的一個在野外被利用的漏洞。DOC文件中包含一個嵌入的OLE對象,執行後觸發另外一個從存儲的URL中下載的DOC文件,(如圖3所示)。

圖3: OLE對象中嵌入的URL

CVE-2017-11882

同樣,我們也觀察到攻擊者利用Microsoft Office中另一個新近發現的漏洞(CVE-2017-11882)。在打開惡意的DOC附件後,會從嵌入的OLE對象內一個存儲的URL觸發另外的下載(見圖4)。

圖4: OLE對象中嵌入的URL

圖5: HTTP GET請求下載下一階段的payload

下載的文件doc.doc是一個XML,包含一條PowerShell命令(如圖6所示)用來下載二進位Pause.ps1文件。

圖6:下載Pause.ps1 payload的PowerSh

動態數據交換 (DDE)

動態數據交換(DDE)是進程間的通信機制,用於執行遠程代碼。藉助PowerShell腳本(如圖7所示),下載下一階段的payload(Pause.ps1)。

圖7:用於下載Pause.ps1 payload的DDE技術

我們觀察到的一個獨特方法是使用無點的IP地址(例如:hxxp:// 258476380)。

圖8顯示了下載Pause.ps1的網路通信。

圖8:下載Pause.ps1 payload的網路通信

五、Zyklon投遞

所有這些技術中,相同的域名被用於下載下一階段的payload(Pause.ps1)——另一個Base64編碼的PowerShell腳本(如圖8所示)。

Pause.ps1腳本負責解析代碼注入所需的API以及包含注入的shellcode,其中的API包括VirtualAlloc()、memset()和CreateThread()。圖9顯示了Base64解碼後的代碼。

圖9: Base64 解碼後的 Pause.ps1

注入代碼負責從伺服器下載最終的payload(參見圖10)。最後一個階段的payload是用.Net編譯的PE可執行文件。

圖10:下載最終payload(words.exe)的網路流

運行之後,執行以下行為:

1、拷貝副本至%AppData% svchost.exe svchost.exe,並釋放一個XML文件,其中包含Task Scheduler的配置信息(如圖11所示)。

2、通過進程挖空解壓縮內存中的代碼。MSIL文件的.Net資源部分包含打包的核心payload。

3、解壓後的代碼是Zyklon。

圖11:用於計劃任務的XML配置文件

Zyklon惡意軟體首先使用如下域名檢索受感染機器的外網IP:

api.ipify.orgnip.anysrc.netnmyexternalip.comnwhatsmyip.comn

Zyklon可執行文件在其名為tor的.Net資源部分中包含另一個加密文件,該文件被解密並注入到InstallUtiil.exe的一個實例中,命名為Tor anonymizer函數。

六、指揮與控制通信(C&C)

Zyklon的C2通信通過Tor網路進行代理。惡意軟體向C2伺服器發送POST請求,參數為getkey = y,C2伺服器由存儲在文件內存中的gate.php追加。為響應此請求,C2伺服器回應一個Base64編碼的RSA公鑰(如圖12所示)。

圖12: Zyklon RSA公鑰

與C2伺服器建立連接後,惡意軟體可以使用表1所示的命令與其控制伺服器進行通信。

表1: Zyklon命令集

下圖顯示了「settings」(圖13)、「sign」(圖14)和「ddos」(圖15)命令的初始請求和隨後的伺服器響應。

圖13: Zyklon 發出「settings」 命令及隨後

圖14: Zyklon發出「sign」 命令及隨後伺服器的響

圖15: Zyklon 發出 「ddos」命令及隨後伺服器的

七、插件管理

Zyklon從C2伺服器上下載了很多插件。插件URL以如下格式存儲在文件中:

/plugin/index.php?plugin=<Plugin_Name>

在Zyklon惡意軟體內存中找到以下插件:

/plugin/index.php?plugin=cuda

/plugin/index.php?plugin=minerd

/plugin/index.php?plugin=sgminer

/plugin/index.php?plugin=socks

/plugin/index.php?plugin=tor

/plugin/index.php?plugin=games

/plugin/index.php?plugin=software

/plugin/index.php?plugin=ftp

/plugin/index.php?plugin=email

/plugin/index.php?plugin=browser

下載的插件注入到:WindowsMicrosoft.NETFrameworkv4.0.30319RegAsm.exe。

八、額外功能

Zyklon惡意軟體通過插件提供以下額外功能:

瀏覽器口令恢復

Zyklon HTTP可以從以下流行的web瀏覽器中恢復密碼:

Google Chrome

Mozilla Firefox

Internet Explorer

Opera Browser

Chrome Canary/SXS

CoolNovo Browser

Apple Safari

Flock Browser

SeaMonkey Browser

SRWare Iron Browser

Comodo Dragon Browser

FTP 口令恢復

Zyklon目前支持從以下FTP應用程序中恢復FTP密碼:

FileZilla

SmartFTP

FlashFXP

FTPCommander

Dreamweaver

WS_FTP

遊戲軟體密鑰恢復

Zyklon可以恢復以下PC遊戲軟體密鑰:

Battlefield

Call of Duty

FIFA

NFS

Age of Empires

Quake

The Sims

Half-Life

IGI

Star Wars

Email口令恢復

Zyklon也可從以下應用程序收集email口令:

Microsoft Outlook Express

Microsoft Outlook 2002/XP/2003/2007/2010/2013

Mozilla Thunderbird

Windows Live Mail 2012

IncrediMail, Foxmail v6.x – v7.x

Windows Live Messenger

MSN Messenger

Google Talk

GMail Notifier

PaltalkScene IM

Pidgin (Formerly Gaim) Messenger

Miranda Messenger

Windows Credential Manager

License密鑰恢復

惡意軟體會自動檢測和解密200多種流行的軟體(包括Office、SQL Server、Adobe和Nero)的license/序列號密鑰。

Socks5 代理

Zyklon能夠在受感染的主機上建立一個反向的Socks5代理伺服器。

劫持剪貼板比特幣地址

Zyklon有能力劫持剪貼板,並用攻擊者的控制伺服器提供的地址替換用戶複製的比特幣地址。

九、Zyklon 價格

研究人員發現了不同版本Zyklon HTTP在一個大眾黑市的廣告價:

普通版本:$ 75(美元)

Tor版本:125美元(美元)

重建/更新:15美元(美元)

付款方式:比特幣(BTC)

十、結論

攻擊者結合使用了最近在流行軟體(微軟Office)中發現的漏洞,這樣就會增加感染成功的概率。該類型的威脅表明——為什麼確保所有軟體都完全更新非常重要。此外,所有行業都應該保持警惕,因為威脅行為者極有可能會擴大目標範圍。

在本文寫作之時,FireEyeMulti Vector Execution (MVX) engine已能夠識別並阻止此類威脅,表2按產品列出了當前能檢測和阻止的功能。

表2:FireEye產品目前的檢測能力

十一、IoC指標

誘餌樣本

表3: Zyklon誘餌樣本

Network指標

154.16.93.182

85.214.136.179

178.254.21.218

159.203.42.107

217.12.223.216

138.201.143.186

216.244.85.211

51.15.78.0

213.251.226.175

93.95.100.202

warnono.punkdns.top

本文翻譯自:fireeye.com/blog/threat ,如若轉載,請註明原文地址: 4hou.com/info/news/1002 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

他用腳本存儲了兩百萬GB視頻,只是為了測試雲存儲是否真的「無限」
網路犯罪分子越來越擅長使用先進的身份驗證方法
移位溢註:告別依靠人品的偏移注入
小白學習環境的構架基礎
行業安全:最全家用智能設備安全性測試報告

TAG:信息安全 |