一種利用EXCEL的BazarLoader攻擊
一.簡介
本文回顧最近的BazarLoader感染,分析如何導致Cobalt Strike,以及Cobalt Strike 如何導致網路偵察。
BazarLoader 是基於 Windows 的惡意軟體,透過涉及電子郵件的各種方法傳播。這些感染提供了犯罪分子用來確定主機是否是 Active Directory (AD) 環境的一部分的後門訪問。如果是這樣,犯罪分子會部署 Cobalt Strike 並執行偵察以繪製網路地圖。如果結果表明是高價值目標,犯罪分子就會嘗試橫向移動,並且通常會部署勒索軟體,如 Conti 或 Ryuk。
二. 研究內容
2.1 惡意的Excel表格
檔名的副檔名為.xlsb。此檔案存在宏病毒,目的是使用 BazarLoader 感染易受攻擊的Windows主機。和常見的釣魚郵件一樣,該檔案使用了品牌DocuSign來迷惑受害者的判斷。
在主機上啟用惡意宏後,電子表格顯示了一個包含虛假髮票資訊的頁面的新選項卡。
2.2 檢視隱藏的惡意程式碼
檔案中的程式碼做了隱藏,因此直接使用常規的指令碼並不能提取到。這裡使用手動檢視。為了不讓宏直接執行,首先調出VBA編輯器,這裡並不能看到惡意程式碼。我們需要找到原先隱藏的content欄,並修改visible的值為”-1 -xlSheetVisible “,原先的值為”0 -xlSheetHidden”,然後儲存設定,重新開啟excel。
選取出現的content欄,右擊點選取消隱藏,之後就會跳出三個隱藏的工作表,依次將它們全部取消隱藏。
開啟取消的隱藏工作表,不要管左側出現的一大段無用字串,仔細觀察最上面的橫向分類欄的字母順序AO-AU。會發現,少了AP,AQ,AR,AS,AT欄。
選中橫向欄,然後右擊點選取消隱藏,然後就會出現隱藏的惡意程式碼了。三張表都是同樣的操作。
三張表的隱藏內容如下,原理上就是透過函式進行拼接字串。
拼接後,我們整理出幾個有意義的惡意程式碼,分別是:
2.3 BazarLoader二進位制檔案
該電子表格的宏程式碼從以下URL檢索到BazarLoader的惡意動態連結庫(DLL)檔案:hxxps://pawevi[.]com/lch5.dll
DLL被儲存到受害者的主目錄C:\Users\[username]\tru.dll。它使用執行 regsvr32.exe。
BazarLoader DLL立即被複制到另一個位置,並透過Windows登錄檔進行持久化儲存。檔名從更改tru.dll為 kibuyuink.exe,即使它仍然是一個DLL並且仍然需要regsvr32.exe 才能執行。
2.4 BazarC2流量
這個BazarLoader示例生成了C2活動,使用來自104.248.174[.]225:443的HTTPS 流量檢索Bazar後門。然後 BazarBackdoor 使用到104.248.166[.]170:443的HTTPS流量的C2 活動。這種組合的C2活動稱為BazarC2流量。
2.5 Cobalt Strike活動
在最初的BazarLoader感染後大約41分鐘,受感染的 Windows 主機開始使用 HTTPS 流量生成 Cobalt Strike 活動到gojihu[.]com和yuxicu[.]com。
在這種情況下,Cobalt Strike DLL檔案透過BazarC2流量傳送並儲存到使用者下的受感染Windows主機AppData\Roaming目錄。
2.6 AD偵查活動
在本文的案例研究中,Cobalt Strike活動開始大約兩分鐘後,一個用於列舉 AD 環境的工具出現在受感染主機上的C:\ProgramData\AdFind.exe。AdFind是一個命令列工具,被惡意用來從AD環境中收集資訊。在本文案例研究中使用了一個關聯的批處理檔案adf.bat來執行該工具,並儲存搜尋結果。
adf.bat使用命令執行AdFind.exe,這些命令顯示來自目標AD環境的使用者、計算機、檔案共享和其他資訊。
2.7 總結
此案例研究揭示了一個初始惡意軟體感染轉移到Cobalt Strike,然後是偵察活動的示例。當攻擊者使用Cobalt Strike時,他們還可以在AD環境中執行其他型別的偵察。
如果AD環境是一個高價值目標,攻擊者的下一步是橫向移動並獲得對網路中域控制器和其他伺服器的訪問許可權。
2.8 IOC
Virus.xlsb:
8662d511c7f1bef3a6e4f6d72965760345b57ddf0de5d3e6eae4e610216a39c1
lch5.dll/tru.dll/kibuyuink.exe:
caa03c25583ea24f566c2800986def73ca13458da6f9e888658f393d1d340ba1
nubqabmlkp.iowd:
73b9d1f8e2234ef0902fca1b2427cbef756f2725f288f19edbdedf03c4cadab0
AdFind.exe:
b1102ed4bca6dae6f2f498ade2f73f76af527fa803f0e0b46e100d4cf5150682
adf.bat:
1e7737a57552b0b32356f5e54dd84a9ae85bb3acff05ef5d52aabaa996282dfb
三. 防禦建議
1.不要隨便開啟未知來源的文件,尤其是慎重啟用宏功能。
2.做好對垃圾郵件的過濾,並及時更新安全補丁或系統。
相關文章
- 黑客利用Excel文件來執行ChainShot惡意軟體攻擊黑客ExcelAI
- 小心Excel文件,TA505黑客組織利用其執行攻擊Excel黑客
- WiFi攻擊的三種方式WiFi
- 【網路安全分享】APT攻擊常用的4種攻擊手段!APT
- 利用HTTP host頭攻擊的技術HTTP
- BTG(bitcoin gold)受到51%攻擊,攻擊者利用雙重支付獲利Go
- 綜述論文:對抗攻擊的12種攻擊方法和15種防禦方法
- 入侵攻擊實戰中被利用的埠(轉)
- 利用JSONP進行水坑攻擊JSON
- 一種新的攻擊方法——Java-Web-Expression-Language-InjectionJavaWebExpress
- 一種針對Microsoft Office的自動化攻擊方式ROS
- 攻擊伺服器的幾種方式伺服器
- 13 種危險的網路攻擊
- 解析利用BitTorrent發起DDoS放大攻擊的原理
- 雜湊傳遞攻擊利用(Pass The Hash)
- 利用Burp Suite攻擊Web應用UIWeb
- ROVNIX攻擊平臺分析 -利用WordPress平臺傳播的多外掛攻擊平臺
- 一種產生 DSN 放大攻擊的深度學習技術深度學習
- House of apple 一種新的glibc中IO攻擊方法APP
- 能夠使防火牆無效的一種新的攻擊(轉)防火牆
- ddos攻擊伺服器的幾種方式伺服器
- 8種常見的駭客攻擊技術
- 攻擊不斷!QNAP 警告利用0day漏洞Deadbolt 勒索軟體攻擊
- 中間人攻擊利用框架bettercap測試框架
- 利用 cookie 篡改來攻擊 Web 應用程式CookieWeb
- 關注!一種更具破壞力的DDoS放大攻擊新模式模式
- 什麼是XSS攻擊?XSS攻擊有哪幾種型別?型別
- 看好你的門-XSS攻擊(2)-利用反射型XSS漏洞 進行鍼對性攻擊反射
- 幾種常見的DDOS攻擊應對策略
- 網路安全——常見的幾種WEB攻擊:Web
- 三種使用AI攻擊網路安全的方法AI
- 伊朗駭客利用谷歌攻擊了紐約附近一座水電站谷歌
- DDOS攻擊原理,種類及其防禦
- 利用ELK協助安全性攻擊的資料分析
- 黑客攻擊滲透測試的社會工程學利用黑客
- 一種有效應對側通道記憶體攻擊的新方法記憶體
- GoogleTalk被黑客利用發動釣魚攻擊Go黑客
- 微軟安全警告弄巧成拙 被駭客利用發動攻擊微軟