自新冠肺炎疫情發生以來，人們時刻都在關心著各項資料，尤其是各個國家及地區的感染和死亡人數等。攻擊組織正是看中了這一點，利用疫情相關報告作為誘餌，使得使用者在閱讀此類文件時也悄然執行了惡意程式。（更多可見: http://blog.nsfocus.net/netwire-ncov-19-0318/）

近期，攻擊組織開始使用快捷方式加白名單檔案的手段來投放惡意軟體，較之前普遍利用文件漏洞的方式有所不同。

事件簡述

攻擊流程

伏影實驗室發現，3月份的疫情相關攻擊事件中，出現了一種惡意快捷方式，當使用者點選後，雖然開啟了一個正常無害的文件，但同時也執行了惡意軟體。整個流程如下圖所示：

誘餌lnk

快捷方式的名稱為20200308-sitrep-48-covid-19.pdf.lnk。點選後會開啟一個PDF報告（如果有閱讀器的話），由世界衛生組織釋出，內容為疫情相關資料，如下圖所示：

可知，該檔案位於AppData/Local/Temp目錄下，找到後驗證MD5，知其與外網地址下載的PDF的MD5相同，連結如下：

https://www.who.int/docs/default-source/coronaviruse/situation-reports/20200308-sitrep-48-covid-19.pdf?sfvrsn=16f7ccef_4

然而該快捷方式疑點重重，其建立時間太早，檔案大小也不合理，而且命令列太長。

完整的命令列如下，會提取快捷方式中暗藏的惡意元件並執行：

命令首先將快捷方式本身和系統目錄下的certutil.exe複製到Temp目錄下並重新命名，然後在快捷方式（副本）中查詢包含”TVNDRgAAAA”的Base64編碼資料並存入檔案，如下圖所示：

接著，命令使用certutil.exe（副本）對資料進行解碼，再使用expand命令對解碼後的CAB資料進行解壓，得到若干檔案，包含真正的疫情報告PDF、白名單工具和惡意元件，最後會執行其中的惡意JS指令碼。釋放的檔案如下圖所示：

白名單利用與劫持

惡意JS指令碼會執行cmd命令，後者會執行其它指令碼，以啟動真正的惡意軟體Wordcnvpxy.exe。

命令列會將所需檔案複製到指定目錄下。此處使用了MSOSTYLE.EXE這個白名單程式來載入惡意軟體。該檔案為Microsoft Office 2007的元件，必須載入另一個元件Oinfo12.ocx才能執行，而後者恰好被替換為惡意元件，從而實現了白名單劫持。

為了讓MSOSTYLE.EXE駐留在使用者主機上，命令會透過XLS指令碼間接執行一段VBS指令碼，後者會在Startup目錄下建立用來執行MSOSTYLE.EXE的快捷方式。此處用到了另一個白名稱檔案url.dll，透過呼叫其函式FileProtocolHandler來執行MSOSTYLE.EXE。VBS指令碼中的相關內容如下圖所示：

為了更好執行這段VBS指令碼，攻擊者使用到了第三個白名單檔案winrm.vbs。該指令碼為Windows自帶，並具有Windows的簽名，可執行其他XSL指令碼。當接收到引數”-format:pretty”或”-format:text”時，winrm.vbs會在cscript.exe所在目錄下尋找並執行名為WsmPty.xsl或Wsmtxt.xsl的XSL指令碼。

此處，JS執行的cmd命令會將惡意XSL指令碼重新命名為WsmPty.xsl，並將其與cscript.exe（重新命名為msproof.exe）置於同一目錄下，透過cscript.exe執行winrm.vbs，從而達到了利用白名單程式執行未簽名指令碼的目的。相關cmd命令如下圖所示：

惡意的WsmPty.xsl程式碼如下圖所示，其作用為解碼並執行一段VBS指令碼，包含了上文所述中為MSOSTYLE.EXE建立永續性的內容：

VBS指令碼的第二個功能是生成PE檔案頭部前三個位元組，隨後由JS執行的cmd命令將這三個位元組與之前釋放的MiZl5xsDRylf0W.tmp檔案組合，得到完整的Wordcnvpxy.exe。

最終的惡意元件最終被釋放到C:\User\username\Office12下。

惡意軟體

         

Wordcnvpxy.exe會每隔60秒向motivation.*****.site發起一次HTTP請求，以下載後續惡意軟體並執行。

下載後的檔案經過需經過Base64解碼和RC4解密。

其中，Base64解碼與標準有所不同，編碼表和填充字串均被替換。編碼表如下所示：

”z2bqw7k90rJYALIQUxZK%sO=hd5C4piVMFlaRucWy31GTNH-mED8fnXtPvSojeB6g”

最後一個字串’g’為填充字元，替代了原版的’=’。

解碼後的資料尾部包含要建立的檔名，以’$’開頭。剩餘資料經過RC4解密後儲存在當前登入使用者的temp目錄下。RC4解密中初始金鑰為64個位元組，生成方式如下：

事件影響

同某些長期活躍的攻擊鏈域名不同，本次事件，C&C較為孤立且不活躍，也未顯示出攻擊者準備利用疫情來長期“經營”的跡象，故可能是定向發起，或由小團體所為。

在眾多涉及新型肺炎疫情惡意誘餌的安全事件中，此次攻擊中使用了多個白名單檔案，使得惡意行為更加難以檢測。而利用快捷方式釋放無害文件和惡意元件的手段，與以往利用文件漏洞有顯著區別，需引起高度警惕。

關於綠盟科技伏影實驗室

伏影實驗室專注於安全威脅研究與監測技術，包括但不限於威脅識別技術，威脅跟蹤技術，威脅捕獲技術，威脅主體識別技術。研究目標包括：殭屍網路威脅，DDOS對抗，WEB對抗，流行服務系統脆弱利用威脅、身份認證威脅，數字資產威脅，黑色產業威脅 及 新興威脅。透過掌控現網威脅來識別風險，緩解威脅傷害，為威脅對抗提供決策支撐。

關於綠盟威脅中心NTI

綠盟威脅情報中心（NSFOCUS Threat Intelligence center, NTI）是綠盟科技為落實智慧安全2.0戰略，促進網路空間安全生態建設和威脅情報應用，增強客戶攻防對抗能力而組建的專業性安全研究組織。其依託公司專業的安全團隊和強大的安全研究能力，對全球網路安全威脅和態勢進行 持續觀察和分析，以威脅情報的生產、運營、應用等能力及關鍵技術作為核心研究內容，推出了 綠盟威脅情報平臺以及一系列整合威脅情報的新一代安全產品，為使用者提供可操作的情報資料、專業的情報服務和高效的威脅防護能力，幫助使用者更好地瞭解和應對各類網路威脅。

綠盟威脅情報中心NTI網址：https://nti.nsfocus.com/