一種利用EXCEL的BazarLoader攻擊

星河Salaxy發表於2021-12-03

一.簡介

本文回顧最近的BazarLoader感染,分析如何導致Cobalt Strike,以及Cobalt Strike 如何導致網路偵察。


BazarLoader 是基於 Windows 的惡意軟體,透過涉及電子郵件的各種方法傳播。這些感染提供了犯罪分子用來確定主機是否是 Active Directory (AD) 環境的一部分的後門訪問。如果是這樣,犯罪分子會部署 Cobalt Strike 並執行偵察以繪製網路地圖。如果結果表明是高價值目標,犯罪分子就會嘗試橫向移動,並且通常會部署勒索軟體,如 Conti 或 Ryuk。



二. 研究內容


2.1 惡意的Excel表格

檔名的副檔名為.xlsb。此檔案存在宏病毒,目的是使用 BazarLoader 感染易受攻擊的Windows主機。和常見的釣魚郵件一樣,該檔案使用了品牌DocuSign來迷惑受害者的判斷。

一種利用EXCEL的BazarLoader攻擊

在主機上啟用惡意宏後,電子表格顯示了一個包含虛假髮票資訊的頁面的新選項卡。

一種利用EXCEL的BazarLoader攻擊


2.2 檢視隱藏的惡意程式碼

檔案中的程式碼做了隱藏,因此直接使用常規的指令碼並不能提取到。這裡使用手動檢視。為了不讓宏直接執行,首先調出VBA編輯器,這裡並不能看到惡意程式碼。我們需要找到原先隱藏的content欄,並修改visible的值為”-1 -xlSheetVisible “,原先的值為”0 -xlSheetHidden”,然後儲存設定,重新開啟excel。

一種利用EXCEL的BazarLoader攻擊

選取出現的content欄,右擊點選取消隱藏,之後就會跳出三個隱藏的工作表,依次將它們全部取消隱藏。

一種利用EXCEL的BazarLoader攻擊一種利用EXCEL的BazarLoader攻擊

開啟取消的隱藏工作表,不要管左側出現的一大段無用字串,仔細觀察最上面的橫向分類欄的字母順序AO-AU。會發現,少了AP,AQ,AR,AS,AT欄。

一種利用EXCEL的BazarLoader攻擊

選中橫向欄,然後右擊點選取消隱藏,然後就會出現隱藏的惡意程式碼了。三張表都是同樣的操作。

一種利用EXCEL的BazarLoader攻擊

三張表的隱藏內容如下,原理上就是透過函式進行拼接字串。

一種利用EXCEL的BazarLoader攻擊一種利用EXCEL的BazarLoader攻擊一種利用EXCEL的BazarLoader攻擊

拼接後,我們整理出幾個有意義的惡意程式碼,分別是:

一種利用EXCEL的BazarLoader攻擊


2.3 BazarLoader二進位制檔案

該電子表格的宏程式碼從以下URL檢索到BazarLoader的惡意動態連結庫(DLL)檔案:hxxps://pawevi[.]com/lch5.dll

DLL被儲存到受害者的主目錄C:\Users\[username]\tru.dll。它使用執行 regsvr32.exe。

一種利用EXCEL的BazarLoader攻擊

BazarLoader DLL立即被複制到另一個位置,並透過Windows登錄檔進行持久化儲存。檔名從更改tru.dll為 kibuyuink.exe,即使它仍然是一個DLL並且仍然需要regsvr32.exe 才能執行。

一種利用EXCEL的BazarLoader攻擊


2.4 BazarC2流量

這個BazarLoader示例生成了C2活動,使用來自104.248.174[.]225:443的HTTPS 流量檢索Bazar後門。然後 BazarBackdoor 使用到104.248.166[.]170:443的HTTPS流量的C2 活動。這種組合的C2活動稱為BazarC2流量。

一種利用EXCEL的BazarLoader攻擊


2.5 Cobalt Strike活動

在最初的BazarLoader感染後大約41分鐘,受感染的 Windows 主機開始使用 HTTPS 流量生成 Cobalt Strike 活動到gojihu[.]com和yuxicu[.]com。

一種利用EXCEL的BazarLoader攻擊

在這種情況下,Cobalt Strike DLL檔案透過BazarC2流量傳送並儲存到使用者下的受感染Windows主機AppData\Roaming目錄。

一種利用EXCEL的BazarLoader攻擊


2.6 AD偵查活動

在本文的案例研究中,Cobalt Strike活動開始大約兩分鐘後,一個用於列舉 AD 環境的工具出現在受感染主機上的C:\ProgramData\AdFind.exe。AdFind是一個命令列工具,被惡意用來從AD環境中收集資訊。在本文案例研究中使用了一個關聯的批處理檔案adf.bat來執行該工具,並儲存搜尋結果。

一種利用EXCEL的BazarLoader攻擊

adf.bat使用命令執行AdFind.exe,這些命令顯示來自目標AD環境的使用者、計算機、檔案共享和其他資訊。

一種利用EXCEL的BazarLoader攻擊


2.7 總結

此案例研究揭示了一個初始惡意軟體感染轉移到Cobalt Strike,然後是偵察活動的示例。當攻擊者使用Cobalt Strike時,他們還可以在AD環境中執行其他型別的偵察。


如果AD環境是一個高價值目標,攻擊者的下一步是橫向移動並獲得對網路中域控制器和其他伺服器的訪問許可權。


2.8 IOC

Virus.xlsb:

8662d511c7f1bef3a6e4f6d72965760345b57ddf0de5d3e6eae4e610216a39c1


lch5.dll/tru.dll/kibuyuink.exe:

caa03c25583ea24f566c2800986def73ca13458da6f9e888658f393d1d340ba1


nubqabmlkp.iowd:

73b9d1f8e2234ef0902fca1b2427cbef756f2725f288f19edbdedf03c4cadab0


AdFind.exe:

b1102ed4bca6dae6f2f498ade2f73f76af527fa803f0e0b46e100d4cf5150682


adf.bat:

1e7737a57552b0b32356f5e54dd84a9ae85bb3acff05ef5d52aabaa996282dfb


三. 防禦建議

1.不要隨便開啟未知來源的文件,尤其是慎重啟用宏功能。


2.做好對垃圾郵件的過濾,並及時更新安全補丁或系統。


相關文章