您所在的位置: 首頁 >
安全研究 >
安全通告 >
多款商業(yè)木馬正通過釣魚郵件廣泛傳播
概述
郵件攻擊是一個老生常談的話題,無論是灰黑產(chǎn)從業(yè)者還是APT組織都比較青睞于它。千里之堤毀于蟻穴,由于企業(yè)或者個人的安全防范意識不足,釣魚郵件往往攻擊者通往企業(yè)內(nèi)部的第一把鑰匙。近日,奇安信病毒響應(yīng)中心在日常樣本運營中觀察到多款商業(yè)木馬正在通過釣魚郵件廣泛傳播,包括RemcosRAT、AgentTesla、SnakeKeylogger、AsyncRAT、Nanocore等等。商業(yè)木馬主要由釣魚郵件進(jìn)行傳播,郵件內(nèi)容通常為熱點話題或人們感興趣的內(nèi)容,郵件附件通常為帶有惡意宏代碼的office文檔文件或漏洞利用的文檔文件。郵件附件被受害者執(zhí)行之后,通常會層層解密從攻擊者的服務(wù)器下載后續(xù),最終加載執(zhí)行木馬主體文件,實現(xiàn)對用戶設(shè)備的遠(yuǎn)程控制或信息竊取。
樣本分析
釣魚郵件
從攻擊類型角度來看,釣魚郵件可分為普通釣魚郵件和魚叉式釣魚郵件。普通釣魚攻擊針對個人用戶,在這種情況下,攻擊者沒有明確的目標(biāo),其通過廣撒網(wǎng)的方式下發(fā)釣魚郵件控制受害者主機以求牟利,所以釣魚攻擊的誘餌文檔會比較通用,主題一般是時下熱點或人們普遍感興趣的話題。而魚叉攻擊主要針對企業(yè)用戶,此時攻擊者有著竊取商業(yè)機密這樣明確的攻擊目的,誘餌通常會根據(jù)攻擊目標(biāo)定制,例如仿冒企業(yè)高管向企業(yè)員工發(fā)送人事變動表;仿冒合作公司向企業(yè)員工發(fā)送報價單;結(jié)合收集到的資料給指定員工發(fā)送他感興趣的內(nèi)容等等。
從攻擊方式角度來看,郵件攻擊主要分為在正文中插入外部鏈接和在附件中添加惡意文檔兩類。插入的外部鏈接可能指向一個釣魚網(wǎng)站以盜取受害者賬號密碼,也可能指向一個下載地址下載惡意程序到本地以實現(xiàn)對受害者主機的進(jìn)一步控制。無論哪種情況,攻擊者都會構(gòu)建一個看起來正常并且符合文件主題的請求地址,用戶收到郵件之后,若不能辨別外鏈的URL地址是否正常,則很容易中招,下圖列舉了部分外鏈的釣魚郵件:
在郵件附件中嵌入惡意文件是目前最常見的郵件攻擊方式。嵌入的文件可能是office文檔、也可能是zip打包的exe。攻擊者會通過郵件正文誘導(dǎo)用戶下載并打開附件文件,例如以訂單費用為誘餌:
以健康咨詢作為誘餌:
以賬單逾期作為恐嚇:
當(dāng)用戶被這些內(nèi)容吸引,打開并運行附件文件之后,用戶主機將會淪為攻擊者的肉雞,成為攻擊者非法牟利的工具,甚至泄露公司機密文件,造成重大損失。
此外,現(xiàn)在越來越多的攻擊者會將附件加密,然后在郵件正文中告訴用戶密碼以繞過郵件網(wǎng)關(guān)的檢測,如下圖所示:
除了office文檔,攻擊者有時還會在釣魚郵件中投遞LNK文件或者EXE文件,LNK文件通常會盜用正常程序的圖標(biāo),例如文件夾圖標(biāo)、mp3圖標(biāo)、磁盤圖標(biāo)等等。以圖中的樣本為例,LNK文件運行之后,則會調(diào)用系統(tǒng)自帶的mshta.exe從指定地址加載html代碼到本地執(zhí)行。
由于在Windows系統(tǒng)中默認(rèn)不顯示文件擴展名,有的攻擊者還會將可執(zhí)行文件的圖標(biāo)更改為xlsx/docx相關(guān)圖標(biāo),并且以 <文件名.xlsx.exe>的形式命名,讓受害者相信這只是一個普通的office文檔文件。
通過對大量釣魚郵件和商業(yè)木馬的完整分析,我們總結(jié)出了一些攻擊特點以及用戶容易受到釣魚郵件欺騙的原因。在下文中,我們將對比較有代表性的木馬家族進(jìn)行詳細(xì)分析,希望幫助讀者從多個方面了解和認(rèn)識釣魚郵件所帶來的危害。
RemcosRAT
Remcos RAT的出現(xiàn)最早可以追溯到2016年,當(dāng)時在黑客論壇里作為一種有償服務(wù)進(jìn)行廣告和銷售,曾經(jīng)很多網(wǎng)站和論壇還提供該工具的破解版本。一直到現(xiàn)在,Remcos仍然是眾多網(wǎng)絡(luò)犯罪團伙的首要選擇。
誘餌文檔
RemcosRAT家族相關(guān)的誘餌文檔普遍很簡單,大多數(shù)誘餌文檔啟動之后僅僅使用一張劣質(zhì)圖片誘使用戶啟用宏代碼,以e9dbdcfb6439bd0d888e907a71509937樣本為例,樣本啟動后如下所示:
和傳統(tǒng)宏代碼通過Auto_Open()函數(shù)啟動不同,此樣本是以Workbook_Activate進(jìn)行代碼調(diào)用,該方法會在工作簿激活時自動調(diào)用。
在Workbook_Activate函數(shù)調(diào)用后,程序會獲取TextBox1的值解密出一段Powershell指令。TextBox1是一個隱藏在工作簿中的文本框,文本框內(nèi)容是一段逆向輸入的Powershell指令。
數(shù)據(jù)處理之后,程序?qū)?zhí)行一段Powershell指令用于下載后續(xù)Payload
Powershell代碼還原之后會從hxxp[:]//greenpayindia.com/king/file/ach/login/Protected Client.js 下載Protected Client.js文件并在本地保存為:%APPDATA%/notepad.js,最后通過IEX加載執(zhí)行這段js代碼。
詳細(xì)分析
下載回來的notepad.js是一個下載器,原始代碼進(jìn)行了變量混淆
程序首先是定義了兩段二進(jìn)制數(shù)據(jù),在將特殊字符替換和翻轉(zhuǎn)之后,調(diào)用Powershell從hxxp[:]//greenpayindia.com/king/file/ach/login/Attack.jpg下載后續(xù)payload到本地加載執(zhí)行
在加載執(zhí)行Attack.jpg之后,notepad.js還會將自身路徑添加到Run注冊表鍵值中,以開機自啟動的方式實現(xiàn)本地持久化。
notepad.js下載了Attack.jpg文件之后,會將Attack.jpg文件的數(shù)據(jù)賦值到$mv變量中,然后將數(shù)據(jù)以%分割并轉(zhuǎn)成16進(jìn)制的形式加載執(zhí)行
處理后的Attack.jpg是一個Powershell加載器,powershell腳本中硬編碼了兩段hex數(shù)據(jù),第一段hex數(shù)據(jù)是一個PE文件,第二段hex數(shù)據(jù)是一個壓縮包。
程序首先會對PE文件對應(yīng)的數(shù)據(jù)流進(jìn)行處理,然后將其轉(zhuǎn)換為十六進(jìn)制數(shù)據(jù)
轉(zhuǎn)換之后將會得到一個C#編寫的加載器
在腳本最后,程序會執(zhí)行剛才轉(zhuǎn)換得到的C#加載器,并且調(diào)用Waves.t48hj00fg類的實例方法。
該類主要是解壓縮處理參數(shù)的數(shù)據(jù)。
這里傳入的數(shù)據(jù)就是powershell腳本中的第二段數(shù)據(jù)。
將該段數(shù)據(jù)轉(zhuǎn)存出來解壓縮,即可得到RemcosRAT
截止到2021年2月25日,Remcos官網(wǎng)中最新版本的Remcos是3.10 Pro,與本次捕獲的樣本版本一致:
當(dāng)Remcos加載之后,首先會加載資源表中的SETTINGS并通過RC4進(jìn)行解密
資源加載之后,程序會按照一定的長度將資源分割,第一部分是RC4算法的解密秘鑰,第二部分是待解密的數(shù)據(jù)
第二部分的數(shù)據(jù)解密之后會以|....|進(jìn)行分割,解密的字符串包括
isrealpicker.duckdns.org:672
ACH
remcos.exe
Remcos
Remcos-3S0QNK
logs.dat
wikipedia;solitaire
Screenshots
MicRecords
Remcos
9801433FEB92F5A13B1CB4B6C371FC98
10000
根據(jù)字符串,可得到樣本的C2、家族信息以及之后可能會做的一些敏感操作。
資源解密完成之后,程序則會創(chuàng)建互斥體并開始進(jìn)行信息收集和C2回連的工作,由于Remcos客戶端代碼過于龐大,本文中不進(jìn)行一一展示,最新版本的RemcosRAT包含了非常豐富的遠(yuǎn)程控制功能,包括但不限于:
AgentTesla
AgentTesla是一款基于.NET的惡意軟件,最早的出現(xiàn)時間可追溯到2014年,七年來,AgentTesla一直保持更新和活躍,是一個老牌的木馬家族。
誘餌文檔
本次分析的AgentTesla相關(guān)樣本中,其中一例為攻擊者以產(chǎn)品報價為誘餌,對受害者進(jìn)行魚叉攻擊。郵件附件為一個包含了CVE-2017-11882漏洞利用的xlsx文檔。
當(dāng)受害者打開文檔,啟用編輯數(shù)據(jù)將會觸發(fā)11882漏洞,在公式編輯器內(nèi)部00411658的內(nèi)存地址處,程序會將esi寄存器的值拷貝給edi,此時ebp的值在edi寄存器偏移不遠(yuǎn)的地方。
此操作將導(dǎo)致ebp的值被惡意破壞,在函數(shù)調(diào)用結(jié)束后返回到攻擊者構(gòu)建的shellcode中:
shellcode執(zhí)行之后,程序?qū)膆xxp[:]//216.170.114.70/regasm/vbc[.]exe 下載vbc.exe并保存到本地并執(zhí)行
通過ShellExecuute執(zhí)行C:\Users\Public\vbc.exe
詳細(xì)分析
下載回來到本地執(zhí)行的vbc.exe是一個C#加載器,運行后會加載自身資源解密后續(xù)Payload
資源解密后會得到一個base64編碼后的dll文件
接著解密Buta字符串并通過GetMethod獲取Buta方法
Invoke執(zhí)行解碼出來的dll文件,調(diào)用Buta方法
解碼出的dll文件還是一個loader。
該文件會讀取原文件的資源數(shù)據(jù)并進(jìn)行解密,得到一個新的PE文件。
此PE文件依舊是由C#編寫的loader,樣本會讀取解密當(dāng)前資源得到AgentTesla并進(jìn)行進(jìn)程注入
注入進(jìn)程如下,此進(jìn)程即為AgentTesla竊密木馬,可竊取用戶主機上的機密信息并將其打包發(fā)送到攻擊者的郵箱中。
SnakeKeylogger
SnakeKeylogger又稱404Keylogger,是一款由C#編寫的間諜軟件,可以竊取受害者的敏感信息并且進(jìn)行鍵盤記錄。感染了SnakeKeylogger的受害者可能會面臨賬號被盜或金融賬戶被盜的風(fēng)險。
誘餌文檔
和其他惡意家族的釣魚郵件大同小異,SnakeKeylogger相關(guān)的釣魚郵件附件也主要以帶宏代碼的文檔文件為主,以1E5AFF0BB593872B0E948B4ED13A6A49為例,文檔仿冒Excel官方誘導(dǎo)用戶啟用宏代碼。
宏代碼運行后將會拼接字符串解密出一段編碼后的Powershell指令,用于從hxxp[:]//cv75663.tmweb.ru/mike/bravegram.exe下載后續(xù)Payload到本地執(zhí)行。
詳細(xì)分析
下載回來的bravegram.exe是一個Dropper,程序會將預(yù)編碼在文件中的數(shù)據(jù)進(jìn)行9次循環(huán)解碼,得到第二層加載器
第二層加載器中,程序?qū)ㄟ^ThreadHideFromDebugger實現(xiàn)反調(diào)試,然后讀取00112266資源項解密出Snakekeylogger。
最后,程序會將解密出來的SnakeKeylogger注入到系統(tǒng)自帶的vbc.exe中執(zhí)行。
SnakeKeyLogger啟動之后,首先會獲取當(dāng)前計算機的一些基本信息,如計算機名、當(dāng)前日期時間、當(dāng)前計算機的出口ip、ip所在的地理位置等。
接著程序?qū)⑦M(jìn)行一個環(huán)境檢測,判斷當(dāng)前的運行環(huán)境是否在已知的環(huán)境中,檢測方法是利用獲取到的公網(wǎng)IP不斷與預(yù)定義的公網(wǎng)ip進(jìn)行比較,若兩者相等,則退出進(jìn)程。
在一切環(huán)境準(zhǔn)備就緒之后,SnakeKeylogger將會開始鍵盤監(jiān)聽并竊取用戶主機上的關(guān)鍵信息,包括:outlook賬號密碼、Foxmail賬號密碼、Amigo、Xpom、Kometa、Nichrome、Chrome、CocCoc、QQ瀏覽器、Orbitum、Slimjet、Iridium、Vivaldi、TIron、Chromium、Ghost、Cent、XVast、Chedot、Superbird、360瀏覽器英文版、360瀏覽器中文版、Comodo、Brave、Torch、UC瀏覽器、Blisk、Epic、Opera、FileZilla、Pidgin、liebao瀏覽器、Avast、Kinzaa、BlackHawk、Citrio、Uran、Coowon、7Star、QIPsurf、Sleipnir、Chrome_Canary、CoolNovo、Sputnik、Falkon、Microsoft edge瀏覽器、Discord、Slim、FireFox、Thunderbird、SeaMonkey、IceDragon、CyberFox、PaleMoon、WaterFox、PostBox。
數(shù)據(jù)竊取成功之后,程序?qū)許MTP的方式將數(shù)據(jù)打包發(fā)送到攻擊者的郵件服務(wù)器中。
歷史版本對比
基于奇安信內(nèi)部數(shù)據(jù)平臺,我們找到了大量類似的商業(yè)木馬和釣魚郵件,對其中的部分樣本進(jìn)行詳細(xì)分析之后也算是掀開了灰黑產(chǎn)產(chǎn)業(yè)鏈惡意樣本發(fā)展的冰山一角。以RemcosRAT為例,自2016年發(fā)布以來,RemcosRAT就在不斷更新迭代,2019年年底就已經(jīng)發(fā)布了1.7pro版本
對比分析之后可以發(fā)現(xiàn),一方面,RemcosRAT的開發(fā)商對程序的功能進(jìn)行了完善和更新,另一方面,他們對RemcosRAT的代碼結(jié)構(gòu)進(jìn)行了維護(hù)和重構(gòu),目前的RemcosRAT比以前更穩(wěn)定,更難以分析。
總結(jié)
自互聯(lián)網(wǎng)普及以來,網(wǎng)絡(luò)攻擊就是一個經(jīng)久不衰的話題。出于利益的驅(qū)使,灰黑產(chǎn)攻擊者們正持續(xù)不斷的更新迭代惡意軟件并發(fā)起網(wǎng)絡(luò)攻擊。一方面,攻擊者們都比較默契的采用了較為復(fù)雜的加載方式,通過多次的下載和解密,層層加載,最終才會執(zhí)行真實的惡意樣本,這樣做可以比較好的迷惑受害者,提升攻擊成功率。另一方面,樣本大多數(shù)使用了免費的第三方服務(wù)作為通信,包括后續(xù)payload下載以及數(shù)據(jù)回傳,在節(jié)省開支的同時也使得樣本更難被溯源。此次捕獲的樣本主要是針對國外用戶開展攻擊活動,暫未發(fā)現(xiàn)影響國內(nèi)用戶,但防范之心不可無,在這里再次提醒各企業(yè)用戶,加強員工的安全意識培訓(xùn)是企業(yè)信息安全建設(shè)中最重要的一環(huán),切勿點開來歷不明的郵件附件。
對于天擎用戶,請及時更新病毒庫以查殺此類惡意樣本的最新變種。另外,企業(yè)用戶可以建設(shè)態(tài)勢感知,完善資產(chǎn)管理及持續(xù)監(jiān)控能力,并積極引入威脅情報等產(chǎn)品,以提高多維度防御的能力。
IOCs
部分相關(guān)md5信息如下:
808EA5B48F1602EB1474AA935D204BFC
1E5AFF0BB593872B0E948B4ED13A6A49
e9dbdcfb6439bd0d888e907a71509937
91501377b1509c2feaa6e5d1f986adae
5d688ea01506746b1dfb67201aa0ba1b
931cc8e931c32624701c71d3e2bc6f0a
2509447b18947c385a1cfc622d47d131
2019989c39331aaee8b4aed904cfac70
15305cbe251901a5c2e1044b7a71d380
11ff7ae90a30589cd3bcdbf662fad152
來源:奇安信病毒響應(yīng)中心