近期,360核心安全團隊監測到一類針對外貿行業人員進行攻擊的木馬正在傳播,該類木馬被包含在釣魚郵件附件的PPT文檔中,所攜帶的數字簽名仿冒了知名公司“通達信”的簽名。
攻擊過程
仿冒“通達信”簽名的木馬主要通過兩種方式進行傳播,一種是通過給特定目標羣體發送釣魚郵件,另一種則是通過早已潛伏很久的“亂世”木馬來運行。
本文主要介紹通過釣魚郵件的攻擊手法。作案團伙精心製做多種PPT文檔,分別針對不同的目標人員僞裝文檔內容,並通過郵件附件進行傳播,誘導用戶下載點擊運行。如下是其中一例傳播的樣本,該誘導附件僞裝成某“空氣清新器”相關的幻燈片文檔。xise
直接打開該文檔後,將自動運行辦公軟件如Office PPT或WPS PPT程序來播放全屏幻燈片如下,此時只要移動一下鼠標,或者因爲看見其中的播放按鈕而點擊幻燈片的話,就會觸發運行木馬程序的動作。由於這種直接執行程序的動作比較危險,所以一般辦公軟件都會彈出警告提示讓用戶選擇是否執行,儘管如此仍有不少用戶會因爲不慎點擊“確定”,或者因爲不斷的觸發動作導致不停地彈窗,最終讓木馬程序運行起來。http://caidaome.com
一旦得到運行機會,PPT軟件將釋放木馬程序到臨時目錄,並命名成僞裝的Office批處理程序運行起來,實際上該程序就是帶有仿冒“通達信”數字簽名的木馬。
經過測試,這種運行木馬的方式成功率較高,主要原因是木馬作者將該PPT文檔的拓展類型做成自動放映文件(“.ppsx”),並在其中設置了可不斷觸發的對象動作。通常PPT文檔的保存格式是”.ppt”或”.pptx”,打開後不會自動全屏播放幻燈片,如下將樣本拓展名改成”.pptx”後打開文檔,可以看到其中插入的一個外部對象,並對該對象設置了“自定義動畫”。http://tatawed.com
如果只是插入可以點擊執行的外部程序對象可能成功率相對較低,但是木馬作者又很猥瑣地對該對象設置了“鼠標移過”和“鼠標單擊”的觸發動作,只要在全屏播放文檔的過程中移動鼠標就會不斷的觸發打開木馬程序的動作,不厭其煩地彈出安全警告,大大提高了木馬運行的成功率。
木馬分析
通過上述的攻擊手法,木馬被成功運行起來開始工作。首先定位到木馬程序的釋放位置,查看一下該程序的外貌特徵,發現不僅程序的文件版本信息僞裝成了“有道”PDF文檔轉換器,程序代碼也被加了一層“Themida”強殼。
通過調試工具對木馬程序進行脫殼處理後進一步跟蹤,發現該程序只是個加載器,其工作是在內存中解密出一個真正工作的核心DLL模塊並加載執行,加載過程是先檢查PE頭部的數據格式後再分配內存進行LoadPE。
加載完核心DLL模塊後,隨即通過解析PE結構獲取導出函數“Shellex”的地址,然後調用該模塊的導出函數“Shellex”進行工作。
進入工作流程後,木馬模塊首先聯網下載一個迷惑性的PPT文檔“stick1.ppsx”,下載地址爲:“hxxp://139.159.132.114:988/ppt/stick1.ppsx”。
隨後木馬打開該PPT文檔進行播放,用於給目標用戶展示感興趣的內容,目的是降低用戶的警覺性。PPT文檔共有兩張幻燈片,內容仍然是“空氣清新器”相關。
當然,播放“空氣清新器”相關的PPT只是表面工作,木馬程序則已經在後臺繼續偷偷地運行。爲了持久化,木馬程序首先添加自啓動,實現方式是通過”DefineDosDeviceA”創建一個該程序在系統“啓動”目錄的Dos符號鏈接,然後把自身拷貝到該符號鏈接路徑來間接地完成將木馬程序拷貝到自啓動目錄的任務。
佈置完相關的持久化環境後,木馬程序緊接着就準備上線,連接上線的服務器地址爲:”www.kuailebaoche.com:9009”。
連接服務器之後,收集用戶電腦信息,包括系統版本、內存狀態、硬盤信息、木馬安裝時間等,還有通過遍歷進程列表來收集電腦的安全軟件運行情況,方便後續的控制活動。
信息回傳完畢後就上線成功了,接下去便是等待遠程控制端的操作請求。一旦收到控制請求,在接收數據到緩衝區後需要先對其進行簡單的異或解密,然後再解析和分發控制指令。
最終進入分發控制流程,包含常見的遠控木馬功能如下載執行、遍歷進程、註銷系統等。
追蹤溯源
整理該仿冒簽名簽發過的程序類別,發現作案團伙除了用該簽名來簽發木馬程序外,在360對其全面查殺之後,還簽發了大量通達信軟件的程序和少量的其他正常程序,在不斷地進行安全測試。
仿冒簽名測試簽發的正常通達信程序如下圖,簽名字符串尾部多了一個很不顯眼的點,是作案團伙從其他簽發機構申請而來的仿冒簽名。
類似的簽名攻擊手法我們在今年發佈的相關報告《“亂世”木馬家族分析報告》和《遠控木馬盜用網易官方簽名》中都有所提及和總結。進一步挖掘整理後發現,這批仿冒“通達信”簽名的木馬中,除了一部分通過釣魚郵件傳播之外,還有另外一部分正是通過“亂世”木馬的Payload來傳播作案的。典型的一個案例是,該Payload樣本最早出現在受害用戶機器的時間是2018年5月5號,經過大半年的潛伏,最終在2018年10月26號的時候啓動了仿冒“通達信”的遠控木馬,並且受害用戶也是一個從事外貿行業的人員,與上文所述釣魚郵件的目標羣體一致。
可見該作案團伙和“亂世”木馬團伙有着緊密相關的聯繫,並且是在專門針對從事外貿行業的目標羣體進行攻擊,簡單總結二者之間的特點和關係如下。
防範建議
根據該作案團伙的常用攻擊手法,在此給廣大用戶提出以下幾點防範建議。
1.電子郵件:對於不明身份的電子郵件,提高警惕,不要輕易點開其中包含的任何鏈接、圖片或附件;如果打開過程發現任何警告信息,不要忽視或慌張,及時阻止即可。
2.文檔類:對於來源不明的任何文檔,不要輕易打開查看。若打開過程中發現彈出安全警告,請仔細查看選項,及時阻止繼續運行;若打開過程發現有閃爍、崩潰等奇怪現象,可以檢查一下任務管理器關閉可疑進程。
3.IM工具:對於不認識的聊天對象或者聊天羣,不要輕易接收或打開其發送的任何文件、圖片或鏈接;開啓文件拓展名顯示,打開文件前檢查文件名和拓展名。
4.軟件工具:不要輕易在網上下載來源不明的軟件程序運行,常用軟件可通過官方渠道或360軟件管家下載安裝。
5.安全軟件,建議安裝360衛士或殺毒進行全方位的安全檢測和防護。
總結
本次攻擊事件是專門瞄準特定行業的目標人羣進行的,也從側面顯露了與之關聯的“亂世”木馬團伙其龐雜、有序的目標結構。從其攻擊特點上看,該作案團伙擅長通過精心製作的針對性文檔、郵件或鏈接,結合社會工程學與簽名仿冒等技術來誘導目標實施攻擊,讓人防不勝防;並且,該團伙攻擊成功後還可能進行長期的監控和潛伏,也不斷地對木馬後門組件進行更新迭代,攻擊態勢趨於長期化與專業化,用戶不知不覺間可能早已成爲攻擊的目標,即使有所察覺也可能因爲木馬僞裝隱藏自己的手法而無從應對。面對頻繁活躍、日益猖獗的木馬團伙,希望廣大用戶提高安全意識、及時安裝防護軟件,謹防遭受攻擊威脅和財產損失。
附錄
Hashs
*本文作者:360凡賽堤安全團隊,轉載請註明來自FreeBuf.COM