WF曲速未來透露:被遺忘的MS Office功能于投遞惡意軟件區(qū)塊鏈
4種利用MicrosoftOffice投遞惡意軟件的技術(shù)。
根據(jù)微軟2016年威脅情報報告,98%的Office目標(biāo)威脅使用宏來實現(xiàn)的。那么,難道我們就只專注于檢測利用宏的威脅嗎?當(dāng)然不是,攻擊者都在不斷創(chuàng)新。找到繞過現(xiàn)有安全解決方案的方法,并使惡意軟件易于執(zhí)行,是攻擊者的首要任務(wù)。利用漏洞實現(xiàn)代碼執(zhí)行是一種很好的方法,但對于大多數(shù)攻擊者來說,它們的實現(xiàn)技術(shù)太高,而且成本太高。較不常見的文件類型提供了便于攻擊者使用的傳遞方法,不需要受害者采取太多的行動,也可以逃避檢測。
如果文件類型尚未被惡意軟件廣泛使用,那么很有可能安全產(chǎn)品對正確分析文件類型的支持有限。為此,可以利用一些很少使用的Office文件類型和特性來實現(xiàn)此目的。在這篇博文中,我們將重點介紹一些技術(shù),這些技術(shù)使用了大多數(shù)被遺忘的特性來通過Microsoft Office提供惡意軟件。
4種通過Microsoft Office提供惡意軟件的技術(shù)
除了常見的VBA和利用漏洞的方式之外,Office還支持文件類型,這些文件類型大多被遺忘,通常不會在正常環(huán)境中使用。如果Excel支持該文件類型(例如,IQY、SLK),它將在Windows中顯示一個熟悉的Excel圖標(biāo),從而降低受害者變得可疑,并更有可能打開該文件的可能性。使用Excel打開后,使用DDE(DynamicDataExchange,動態(tài)數(shù)據(jù)交換)協(xié)議,如果在受害者的計算機上啟用,可以輕松執(zhí)行代碼。
使用對象鏈接和嵌入(ObjectLinkandEmbedded,OLE)是利用Windows支持的文件類型感染用戶計算機的一種常見技術(shù)。讓受害者打開Word文檔要比直接讓可執(zhí)行文件更容易。攻擊者面臨的問題是Office 2016默認阻止某些文件擴展名的執(zhí)行。安全研究員MattNelson發(fā)現(xiàn)了一種文件類型-SettingContent-MS-它可以執(zhí)行代碼,但不在Office實現(xiàn)的阻止執(zhí)行黑名單中,因此不會像OLE那樣被阻止執(zhí)行。
另一種濫用Office功能的方法是使用Word或Excel的,眾所周知但很少使用的啟動路徑。如果支持的文件放置在此文件夾中,則將在應(yīng)用程序下一次啟動時自動打開該文件。
1)IQY-Excel Web查詢
2)SLK-符號鏈接
3)啟動路徑
4)嵌入式設(shè)置內(nèi)容
現(xiàn)在,讓我們來看看利用這些投遞技術(shù)的四個示例。
IQY-Excel Web查詢
查看VMRayAnalyzer報告
SHA 256:ca0da220f7691059b3174b2de14bd41ddb96bf3f02a2824b2b8c103215c7403c
Excel Web查詢是用于將內(nèi)容從Web查詢并填充到Excel單元格的簡單文本文件。這些文件包含一個URL,在Excel中打開該文件后,URL的內(nèi)容將被下載到工作簿中。從那時起,DDE就可以輕松地執(zhí)行代碼了。
Excel已支持該文件類型超過十年,但公開發(fā)布的惡意軟件直到5月底才開始使用此技術(shù).
然后在6月初發(fā)布了一份詳細介紹利用此種方式進行攻擊行動的報告:
惡意軟件分析: Excel Web Query (iqy)文件下載FlawedAmmyy遠控 (VirusTotal5/59)https://t.co/GJAnsfwwOg #infosec18 pic.twitter.com/PCpm3O1Pfe
示例本身非常簡單,只是一個文本文件,其中包含要下載的鏈接。
圖1:IQY文件的內(nèi)容
打開文件時,Excel下載2.dat,并將文件的內(nèi)容復(fù)制到單元格中。
圖2:Excel下載下一階段
圖3:下載的2.dat文件的內(nèi)容
2. dat的內(nèi)容以=cmd|。這是一個簡單的DDE方法,用于簡單地獲得后面代碼執(zhí)行。管道使用cmd.exe執(zhí)行后的字符串,并將使用PowerShell下載下一階段(1.dat)。在執(zhí)行命令之前,Excel中會彈出警告。
圖4:Office 2016的警告
圖5: 第二階段的內(nèi)容, 1.dat
1.dat是一個簡單的PowerShell下載程序,它下載并執(zhí)行FlawinAmmyy遠控。
圖6:下載和執(zhí)行FlawinAmmyy的IQY文件的處理圖
SLK-符號鏈接
查看VMRayAnalyzer報告
SHA 256:3d479d661bdf4203f2dcdeaa932c3710ffb4a8edb6b0172a94659452d9c5c7f0
SLK文件格式是為在電子表格之間交換信息而設(shè)計的。與IQY一樣,它也是Office支持的另一種格式,它可以與DDE相結(jié)合,以一種簡單的方式執(zhí)行代碼。盡管該文件的內(nèi)部文件是無文檔的,但可以輕松地修改現(xiàn)有的SLK文件,而不需要了解格式,并且有非正式的文件嘗試。
對于攻擊者來說,實現(xiàn)代碼執(zhí)行的唯一方法是用動態(tài)表達式替換SLK文件中的單元格,比如以“=cmd\”開頭的單元格。以下示例(地址)使用此技術(shù)開始使用聯(lián)機XSL。攻擊者可以直接在這里下載有效載荷,但可以使用“SquiblyTwo”SubTee技術(shù),利用WMIC實現(xiàn)代碼執(zhí)行的技術(shù)。
圖7:使用自定義電子表格啟動wmic.SLK。
圖8:SLK啟動WMIC的過程圖
啟動文件夾
查看VMRayAnalyzer報告
SHA 256:83b0d7926fb2c5bc0708d9201043107e8709d77f2cd2fb5cb7693b2d930378d2
打開Word或Excel時,它們會解析某些文件夾,查找文件,并在默認情況下打開它們。這個特性有很詳細的文檔記錄,一些組織在默認情況下使用它來打開默認的模板。
該特性也可以被惡意軟件用作持久化機制或沙箱逃逸技術(shù)。技術(shù)實施起來簡單,就只需將一個文件放到其中一個文件夾中。除非下一次啟動相關(guān)的Office程序,否則不會打開該文件,沙箱可能不會自動打開該文件。
示例(地址)是一個rtf文件,該文件利用Word的等式編輯器漏洞(CVE-2017-11882)將XLS拖放到擴展名為xlam的默認ExcelXLSTART文件夾中。
圖9:刪除文件到XLSTART的檢測
圖10:被丟棄的XLS的Yara匹配
釋放的XLS有經(jīng)過混淆的宏,下一次啟動Excel時,它將打開已刪除的文件,并執(zhí)行宏,最后將DLL刪除到AppData文件夾,并將其鏈接到系統(tǒng)啟動時運行。
查看釋放的XLS的VMRay Analyzer報告
圖11:刪除XLS的檢測
嵌入式設(shè)置內(nèi)容
查看VMRayAnalyzer報告
SHA 256:3c6a74d216e10e4ff158716cfa72984230995041c4bbb7596b8c8aaa461d76c5
本質(zhì)上,SettingContent-Ms文件類型是一個XML,它有一個名為“Deeplink”的標(biāo)簽。Deeplink可以指向任何可運行的文件,當(dāng)文件打開時,指定的文件將被執(zhí)行。
當(dāng)使用Office的連接打開文檔中嵌入的文檔時,Office可以禁用或警告打開嵌入的文件(如果它們是可執(zhí)行的)。可執(zhí)行文件黑名單中缺少了這個擴展名,因此它繞過了這個安全特性,這意味著使用Office文檔執(zhí)行代碼要容易得多。在該漏洞被公開披露后,安全研究人員創(chuàng)建了測試樣本,其中許多最終在VirusTotal上結(jié)束。這種方法也被野生的惡意軟件所使用,讓LokiBot掉了下來。從那時起,它就被廣泛應(yīng)用于惡意軟件的運動中,它的變化是將文件嵌入到PDF文件中,而不是DOC文件。
VMRay Analyzer檢測文件結(jié)果:
圖12:VMRayAnalyzer檢測文件
結(jié)語
WF曲速未來表示:攻擊者在不斷尋找新的攻擊載體。在Office文檔中使用宏很容易檢測,而且由于它們需要一些技能來實現(xiàn),因此無法訪問它們。然而,Office確實提供了許多現(xiàn)在未使用和被遺忘的特性,可以利用這些特性來創(chuàng)建成功的攻擊。重新發(fā)現(xiàn)這些Office功能需要努力和技巧,但是一旦有了概念的證明,就有了一個窗口,可以用很少的技能創(chuàng)建高效的攻擊。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會經(jīng)TMT觀察網(wǎng)編輯修改或補充。
