警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊

綠盟科技發表於2020-04-13

自新冠肺炎疫情發生以來,人們時刻都在關心著各項資料,尤其是各個國家及地區的感染和死亡人數等。攻擊組織正是看中了這一點,利用疫情相關報告作為誘餌,使得使用者在閱讀此類文件時也悄然執行了惡意程式。(更多可見: http://blog.nsfocus.net/netwire-ncov-19-0318/)

近期,攻擊組織開始使用快捷方式加白名單檔案的手段來投放惡意軟體,較之前普遍利用文件漏洞的方式有所不同。


事件簡述

攻擊流程

伏影實驗室發現,3月份的疫情相關攻擊事件中,出現了一種惡意快捷方式,當使用者點選後,雖然開啟了一個正常無害的文件,但同時也執行了惡意軟體。整個流程如下圖所示:

警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊


誘餌lnk

快捷方式的名稱為20200308-sitrep-48-covid-19.pdf.lnk。點選後會開啟一個PDF報告(如果有閱讀器的話),由世界衛生組織釋出,內容為疫情相關資料,如下圖所示:

警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊

可知,該檔案位於AppData/Local/Temp目錄下,找到後驗證MD5,知其與外網地址下載的PDF的MD5相同,連結如下:

https://www.who.int/docs/default-source/coronaviruse/situation-reports/20200308-sitrep-48-covid-19.pdf?sfvrsn=16f7ccef_4

然而該快捷方式疑點重重,其建立時間太早,檔案大小也不合理,而且命令列太長。

警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊

完整的命令列如下,會提取快捷方式中暗藏的惡意元件並執行:

警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊

命令首先將快捷方式本身和系統目錄下的certutil.exe複製到Temp目錄下並重新命名,然後在快捷方式(副本)中查詢包含”TVNDRgAAAA”的Base64編碼資料並存入檔案,如下圖所示:

警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊

接著,命令使用certutil.exe(副本)對資料進行解碼,再使用expand命令對解碼後的CAB資料進行解壓,得到若干檔案,包含真正的疫情報告PDF、白名單工具和惡意元件,最後會執行其中的惡意JS指令碼。釋放的檔案如下圖所示:

警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊


白名單利用與劫持

惡意JS指令碼會執行cmd命令,後者會執行其它指令碼,以啟動真正的惡意軟體Wordcnvpxy.exe。

命令列會將所需檔案複製到指定目錄下。此處使用了MSOSTYLE.EXE這個白名單程式來載入惡意軟體。該檔案為Microsoft Office 2007的元件,必須載入另一個元件Oinfo12.ocx才能執行,而後者恰好被替換為惡意元件,從而實現了白名單劫持。

為了讓MSOSTYLE.EXE駐留在使用者主機上,命令會透過XLS指令碼間接執行一段VBS指令碼,後者會在Startup目錄下建立用來執行MSOSTYLE.EXE的快捷方式。此處用到了另一個白名稱檔案url.dll,透過呼叫其函式FileProtocolHandler來執行MSOSTYLE.EXE。VBS指令碼中的相關內容如下圖所示:

警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊

為了更好執行這段VBS指令碼,攻擊者使用到了第三個白名單檔案winrm.vbs。該指令碼為Windows自帶,並具有Windows的簽名,可執行其他XSL指令碼。當接收到引數”-format:pretty”或”-format:text”時,winrm.vbs會在cscript.exe所在目錄下尋找並執行名為WsmPty.xsl或Wsmtxt.xsl的XSL指令碼。

此處,JS執行的cmd命令會將惡意XSL指令碼重新命名為WsmPty.xsl,並將其與cscript.exe(重新命名為msproof.exe)置於同一目錄下,透過cscript.exe執行winrm.vbs,從而達到了利用白名單程式執行未簽名指令碼的目的。相關cmd命令如下圖所示:

警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊

惡意的WsmPty.xsl程式碼如下圖所示,其作用為解碼並執行一段VBS指令碼,包含了上文所述中為MSOSTYLE.EXE建立永續性的內容:

警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊

VBS指令碼的第二個功能是生成PE檔案頭部前三個位元組,隨後由JS執行的cmd命令將這三個位元組與之前釋放的MiZl5xsDRylf0W.tmp檔案組合,得到完整的Wordcnvpxy.exe。

警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊 警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊

最終的惡意元件最終被釋放到C:\User\username\Office12下。

警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊


惡意軟體

MSOSTYLE.EXE載入Oinfo12.ocx後直接啟動了Wordcnvpxy.exe。

         警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊

Wordcnvpxy.exe會每隔60秒向motivation.*****.site發起一次HTTP請求,以下載後續惡意軟體並執行。

警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊

下載後的檔案經過需經過Base64解碼和RC4解密。

其中,Base64解碼與標準有所不同,編碼表和填充字串均被替換。編碼表如下所示:

”z2bqw7k90rJYALIQUxZK%sO=hd5C4piVMFlaRucWy31GTNH-mED8fnXtPvSojeB6g”

最後一個字串’g’為填充字元,替代了原版的’=’。

解碼後的資料尾部包含要建立的檔名,以’$’開頭。剩餘資料經過RC4解密後儲存在當前登入使用者的temp目錄下。RC4解密中初始金鑰為64個位元組,生成方式如下:

警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊


事件影響

同某些長期活躍的攻擊鏈域名不同,本次事件,C&C較為孤立且不活躍,也未顯示出攻擊者準備利用疫情來長期“經營”的跡象,故可能是定向發起,或由小團體所為。

在眾多涉及新型肺炎疫情惡意誘餌的安全事件中,此次攻擊中使用了多個白名單檔案,使得惡意行為更加難以檢測。而利用快捷方式釋放無害文件和惡意元件的手段,與以往利用文件漏洞有顯著區別,需引起高度警惕。


關於綠盟科技伏影實驗室

伏影實驗室專注於安全威脅研究與監測技術,包括但不限於威脅識別技術,威脅跟蹤技術,威脅捕獲技術,威脅主體識別技術。研究目標包括:殭屍網路威脅,DDOS對抗,WEB對抗,流行服務系統脆弱利用威脅、身份認證威脅,數字資產威脅,黑色產業威脅 及 新興威脅。透過掌控現網威脅來識別風險,緩解威脅傷害,為威脅對抗提供決策支撐。


關於綠盟威脅中心NTI

綠盟威脅情報中心(NSFOCUS Threat Intelligence center, NTI)是綠盟科技為落實智慧安全2.0戰略,促進網路空間安全生態建設和威脅情報應用,增強客戶攻防對抗能力而組建的專業性安全研究組織。其依託公司專業的安全團隊和強大的安全研究能力,對全球網路安全威脅和態勢進行 持續觀察和分析,以威脅情報的生產、運營、應用等能力及關鍵技術作為核心研究內容,推出了 綠盟威脅情報平臺以及一系列整合威脅情報的新一代安全產品,為使用者提供可操作的情報資料、專業的情報服務和高效的威脅防護能力,幫助使用者更好地瞭解和應對各類網路威脅。

綠盟威脅情報中心NTI網址:https://nti.nsfocus.com/

相關文章