Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

通过MSXSL方式进行鱼叉式网络钓鱼

0
0

通过MSXSL方式进行鱼叉式网络钓鱼

在2018年中旬发现了针对各种实体进行的鱼叉式网络钓鱼活动,其中被传播的恶意的RTF(Rich Text Format)文件中利用了三种不同的漏洞:CVE-2017-8570,CVE-2017-11882和CVE-2018-0802,并且此次攻击同时也利用了二进制文件msxsl(微软的xml语言解析器,用来解释xml语言的)来运行JScript后门程序。此次攻击与Cobalt组织之前的活动有许多相似之处。

攻击方式

鱼叉式网络钓鱼活动使用恶意RTF文档:


通过MSXSL方式进行鱼叉式网络钓鱼

如果漏洞利用成功,则会打开一个诱饵文档:


通过MSXSL方式进行鱼叉式网络钓鱼

通过查看文档中的OLE对象,可以看到一些有趣的属性(下个部分详细分析)。


通过MSXSL方式进行鱼叉式网络钓鱼

打开文档后会进行一系列行为,主要归纳为:

恶意RTF文档对三个漏洞进行利用(CVE-2017-8570,CVE-2017-11882或CVE-2018-0802) 运行eqnedt32.exe(Microsoft公式编辑器)并在链中执行两个cmd.exe实例 cmd.exe实例使用DLL(dll.txt)启动regsrv32.exe,然后删除诱饵文档 加载的DLL执行以下操作:
创建一个XML文件
创建一个XSL文件
从磁盘中删除自身
创建JScript文件(用于持久性存在)
删除合法的MSXSL.exe副本
运行MSXSL,从新创建的XML和XSL文件中获取最后一个后门
通过MSXSL方式进行鱼叉式网络钓鱼
第一阶段

漏洞被利用后,cmd.exe运行Task.bat:

ECHO OFF
set tp=”%temp%block.txt”
IF EXIST %tp% (exit) ELSE (set tp=”%temp%block.txt” & copy NUL %tp% & start /b %temp%2nd.bat)
del “%~f0”
exit
通过MSXSL方式进行鱼叉式网络钓鱼

设置环境变量后,将启动第二个批处理文件,其任务是启动regsrv32.exe以加载dll.txt,清除临时目录、重新启动显示诱饵文档的winword。


通过MSXSL方式进行鱼叉式网络钓鱼

为后门运行且可持久性运行设置正确环境,dll.txt会执行以下操作:

创建c:usersuserappdataroamingmicrosoftf4b3a452b6ea052d286.txt
创建c:usersuserappdataroamingmicrosoft7009b05a8c4dc1b.txt
创建c:usersuserappdataroamingmicrosoft12a0c3af5a631493445f1d42.js
删除c:usersuserappdataroamingmicrosoftmsxsl.exe executable, a Microsoft legitimate executable

在HKCUEnvironment中创建一个注册表项值,其值为“UserInitMprLogonScript”,数据为Cmd.Exe /C “%Appdata%Microsoft12A0C3AF5A631493445F1D42.Js(用于登录持久性脚本. ATT&CK TID: T1037)

DLL活动:


通过MSXSL方式进行鱼叉式网络钓鱼

DLL的文件系统和注册表活动:


通过MSXSL方式进行鱼叉式网络钓鱼

在生成cmd.exe实例后立即删除dll.txt并启动msxsl.exe,将删除的XML文件和XSL文件(包含后门代码)作为参数。


通过MSXSL方式进行鱼叉式网络钓鱼

用于保持持久性存在的脚本:


通过MSXSL方式进行鱼叉式网络钓鱼

值得注意的是这里使用了msxsl.exe,它是用于使用Microsoft的XSL处理器执行可扩展样式表语言(XSL)转换的命令行程序。可以使用此可执行文件来运行JScript代码:

C:UsersUserAppDataRoamingMicrosoftmsxsl.exe
“C:UsersUserAppDataRoamingMicrosoftF4B3A452B6EA052D286.txt”
“C:UsersUserAppDataRoamingMicrosoft7009B05A8C4DC1B.txt”
通过MSXSL方式进行鱼叉式网络钓鱼
后门

后门是用JScript编写的,它能够执行以下操作:

通过wmi和其他windows工具进行检测

使用cmd.exe运行可执行文件

使用regsvr32.exe加载DLL文件

下载并运行新脚本

删除自身

检查AntiVirus软件

使用RC4的js实现进行c2通信


通过MSXSL方式进行鱼叉式网络钓鱼

任何类型的脚本都可以由此后门运行,因此它所可以造成的恶意后果是不可估量的。样本会检查不同的防病毒软件,并且将用户信息发送回C2服务器,以便向恶意控制者传递消息以避免触发杀软警报。

我们在广告中找到的C2地址是: https://mail[.]hotmail[.]org[.]kz/owalanding/ajax[.]php

它似乎是在1994年注册在哈萨克斯坦的主机名,这个古老的服务器可能被恶意者攻击并被用做了远控C2。


通过MSXSL方式进行鱼叉式网络钓鱼

攻击链的第二阶段似乎与2017年11月份确定的一项活动相同,可能均来自于Cobalt组织,但他们攻击的第一阶段完全不同,有可能是一个新的漏洞利用工具包Threadkit。而后门的代码与TrendMicro在2017年8月分析的代码看起来非常相似。2018年3月版和2017年8月版共有的命令如下:

more_eggs: 用于下载新脚本

d&exec: 用于运行可执行文件

gtfo: 用于终止实例并执行清理

more_onion: 用于运行新脚本

已经更新过的系统无需在意此次攻击,但未更新的系统应监视下面发布的IOC以及异常行为,例如从临时文件夹运行的msxsl或加载未知模块的regsvr32.exe。

malicious RTF (DOC00201875891.doc): db5a46b9d8419079ea8431c9d6f6f55e4f7d36f22eee409bd62d72ea79fb8e72

msxsl.exe (legitimate, dropped): 35ba7624f586086f32a01459fcc0ab755b01b49d571618af456aa49e593734c7

JS persistence: 710eb7d7d94aa5e0932fab1805d5b74add158999e5d90a7b09e8bd7187bf4957

XSL JS backdoor: 6a3f5bc5885fea8b63b80cd6ca5a7990a49818eda5de59eeebc0a9b228b5d277

XML: dbe0081d0c56e0b0d7dbf7318a4e296776bdd76ca7955db93e1a188ab78de66c

task.bat: 731abba49e150da730d1b94879ce42b7f89f2a16c2b3d6f1e8d4c7d31546d35d

2nd.bat: 33c362351554193afd6267c067b8aa78b12b7a8a8c72c4c47f2c62c5073afdce

decoy document: 1ab201c1e95fc205f5445acfae6016679387bffa79903b07194270e9191837d8

regsvr32 DLL: 0adc165e274540c69985ea2f8ba41908d9e69c14ba7a795c9f548f90f79b7574

inteldriverupd1.sct: 002394c515bc0df787f99f565b6c032bef239a5e40a33ac710395bf264520df7

C2: mail[.]hotmail[.]org[.]kz/owalanding/ajax.php

IP (at the time of writing): 185.45.192.167


Viewing all articles
Browse latest Browse all 12749

Latest Images

Trending Articles





Latest Images