一、前言

隨著新冠肺炎病毒（nCoV-19）在世界範圍內的傳播擴散，多個國際黑客組織開始注意到疫情話題在社會工程學方面的易用性，用疫情資訊做掩護髮起攻擊。

在綠盟科技伏影實驗室早前釋出的資訊中顯示，已有Emotet、FormBook等知名木馬在攻擊中使用了疫情資訊作為誘餌。（詳情可見：http://blog.nsfocus.net/watch-out-for-hackers-attacked-by-new-crown-virus-pneumonia/）

近期，伏影實驗室發現，NetWire遠控木馬控制者開始使用nCoV-19疫情相關的誘餌文件來投放木馬。相關IOC可通過綠盟威脅情報中心（https://nti.nsfocus.com/）獲取。

NetWire，又稱NetWireRC或Recam，是一款遠控木馬，最早出現在2012年。曾被奈及利亞的黑客用於攻擊企業目標。多年以來，NetWire一直在更新版本，並演化出多條不同的攻擊鏈。2019年起，NetWire進入新一輪的爆發期，藉助由魚叉郵件和網盤組建的擴散網路廣為傳播。

二、事件簡述

近期，伏影實驗室捕獲的部分NetWire文件樣本中含有nCoV-19疫情的社工資訊。

當受害者開啟惡意郵件中的附件文件時，將會看到如下所示的內容：

文件中圖片顯示了nCoV-19病毒的全球傳播情況，並且有地域上的錯誤。

而該文件實際包含cve-2017-11882公式編輯器漏洞，會下載並執行惡意程式，最終使NetWire木馬在受害者主機上執行。

該NetWire的大致攻擊流程如下：

漏洞rtf文件執行後，通過短連結獲取到二階段載荷的地址並下載執行，二階段載荷將解密後的字串和shellcode注入到windows程式ieinstal.exe中執行，shellcode訪問GoogleDrive並將NetWire下載到記憶體中執行。該NetWire變種最終連線cnc伺服器79.137.*.103。

 

三、事件分析

rtf文件

該誘餌文件包含高度混淆的rtf編碼，會觸發cve-2017-11882漏洞：

漏洞觸發後，程式跳轉至shellcode執行。shellcode使用常見的GlobalLock思路尋找Ole流物件位置，隨後跳轉至物件中的第二段shellcode執行。第二段shellcode亦經過高度混淆。

該漏洞文件的惡意shellcode最終下載短連結bit.ly/2T*xW（當前被解析至hxxp://www.asim*.com/new/Notepad.txt）中的內容並執行，同時在word中顯示文件中附帶的jpeg格式疫情地圖。

 

Notepad.txt

惡意rtf下載執行的二階段載荷Notepad.txt是vb程式，主要功能為啟動和注入windows程式ieinstal.exe，注入內容為shellcode和解密後的字串配置項等。

被注入的isinstal.exe執行後，會建立指定目錄USER\\Bagtaler4\\，將惡意程式本體轉移至目錄下並命名為Samipat8.exe，之後建立登錄檔啟動項實現持久化：

隨後程式訪問硬編碼地址hxxps://drive.google.com/uc?export=download&id=1kFK*Jz90下載解密並執行最終階段載荷NetWire遠控木馬。

解密過程中使用了以下函式：

解密邏輯為長鍵值異或，使用的異或鍵由shellcode提供。本例中用到的解密鍵長度為0x24A，由長為0x100的鍵迴圈生成，值為：

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

NetWire

被注入的ieinstal程式最終在記憶體中載入了NetWire木馬。

木馬程式連線C&C地址為79.137.*.103:39561,通訊遵循以下格式:

data部分使用aes加密，加密的key與IV在木馬初始化時隨機生成，並在首次通訊時上傳給C&C：

圖中藍色部分為協議頭部，紅色部分為32位元組key，黃色部分為16位元組IV，綠色部分為加密例文，對應的明文硬編碼在木馬檔案中。

C&C收到木馬提供的加密鍵後，使用此鍵加密data段內容，與木馬持續通訊：

本例中使用的NetWire木馬是功能較全的變種，共支援57種不同的指令，可進行包括檔案操作、程式操作、視窗操作、登錄檔操作、反彈shell、流量轉發、模擬輸入、使用者憑證竊取等行為。具體功能見指令表：

四、事件影響

關聯資料顯示，此次事件中的域名www.asim*.com在2019年10月就開始下發NetWire木馬，而事件中的網盤連結自2月26日被發現以來已經執行了超過兩週。此外，我們通過資料發現，自今年以來NetWire已經下發了25個不同的網盤連結，其中早在1月9日的連結至今仍可訪問。以上資訊均證實了NetWire攻擊具有長效性。

本次nCoV-19疫情誘餌的傳播表明NetWire及其背後的團體進入了新的活躍期，長效的攻擊鏈使得郵件使用者將有相當長的時間籠罩在NetWire的攻擊之下。 

關於伏影實驗室

伏影實驗室專注於安全威脅研究與監測技術，包括但不限於威脅識別技術，威脅跟蹤技術，威脅捕獲技術，威脅主體識別技術。研究目標包括：殭屍網路威脅，DDOS對抗，WEB對抗，流行服務系統脆弱利用威脅、身份認證威脅，數字資產威脅，黑色產業威脅 及 新興威脅。通過掌控現網威脅來識別風險，緩解威脅傷害，為威脅對抗提供決策支撐。

關於綠盟威脅情報中心

綠盟威脅情報中心（NSFOCUS Threat Intelligence center, NTI）是綠盟科技為落實智慧安全2.0戰略，促進網路空間安全生態建設和威脅情報應用，增強客戶攻防對抗能力而組建的專業性安全研究組織。其依託公司專業的安全團隊和強大的安全研究能力，對全球網路安全威脅和態勢進行持續觀察和分析，以威脅情報的生產、運營、應用等能力及關鍵技術作為核心研究內容，推出了綠盟威脅情報平臺以及一系列整合威脅情報的新一代安全產品，為使用者提供可操作的情報資料、專業的情報服務和高效的威脅防護能力，幫助使用者更好地瞭解和應對各類網路威脅。

NTI網址：https://nti.nsfocus.com/