内容简介:在2018年中旬发现了针对各种实体进行的鱼叉式网络钓鱼活动,其中被传播的恶意的RTF(Rich Text Format)文件中利用了三种不同的漏洞:CVE-2017-8570,CVE-2017-11882和CVE-2018-0802,并且此次攻击同时也利用了二进制文件msxsl(微软的xml语言解析器,用来解释xml语言的)来运行JScript后门程序。此次攻击与Cobalt组织之前的活动有许多相似之处。
在2018年中旬发现了针对各种实体进行的鱼叉式网络钓鱼活动,其中被传播的恶意的RTF(Rich Text Format)文件中利用了三种不同的漏洞:CVE-2017-8570,CVE-2017-11882和CVE-2018-0802,并且此次攻击同时也利用了二进制文件msxsl(微软的xml语言解析器,用来解释xml语言的)来运行JScript后门程序。此次攻击与Cobalt组织之前的活动有许多相似之处。
攻击方式
鱼叉式网络钓鱼活动使用恶意RTF文档:
如果漏洞利用成功,则会打开一个诱饵文档:
通过查看文档中的OLE对象,可以看到一些有趣的属性(下个部分详细分析)。
打开文档后会进行一系列行为,主要归纳为:
- 恶意RTF文档对三个漏洞进行利用(CVE-2017-8570,CVE-2017-11882或CVE-2018-0802)
- 运行eqnedt32.exe(Microsoft公式编辑器)并在链中执行两个cmd.exe实例
- cmd.exe实例使用DLL(dll.txt)启动regsrv32.exe,然后删除诱饵文档
- 加载的DLL执行以下操作:
创建一个XML文件
创建一个XSL文件
从磁盘中删除自身
创建JScript文件(用于持久性存在)
删除合法的MSXSL.exe副本
运行MSXSL,从新创建的XML和XSL文件中获取最后一个后门
第一阶段
漏洞被利用后,cmd.exe运行Task.bat:
ECHO OFF set tp=”%temp%block.txt” IF EXIST %tp% (exit) ELSE (set tp=”%temp%block.txt” & copy NUL %tp% & start /b %temp%2nd.bat) del “%~f0” exit
设置环境变量后,将启动第二个批处理文件,其任务是启动regsrv32.exe以加载dll.txt,清除临时目录、重新启动显示诱饵文档的winword。
为后门运行且可持久性运行设置正确环境,dll.txt会执行以下操作:
创建c:usersuserappdataroamingmicrosoftf4b3a452b6ea052d286.txt 创建c:usersuserappdataroamingmicrosoft7009b05a8c4dc1b.txt 创建c:usersuserappdataroamingmicrosoft12a0c3af5a631493445f1d42.js 删除c:usersuserappdataroamingmicrosoftmsxsl.exe executable, a Microsoft legitimate executable
在HKCUEnvironment中创建一个注册表项值,其值为“UserInitMprLogonScript”,数据为Cmd.Exe /C “%Appdata%Microsoft12A0C3AF5A631493445F1D42.Js(用于登录持久性脚本. ATT&CK TID: T1037)
DLL活动:
DLL的文件系统和注册表活动:
在生成cmd.exe实例后立即删除dll.txt并启动msxsl.exe,将删除的XML文件和XSL文件(包含后门代码)作为参数。
用于保持持久性存在的脚本:
值得注意的是这里使用了msxsl.exe,它是用于使用Microsoft的XSL处理器执行可扩展样式表语言(XSL)转换的命令行程序。可以使用此可执行文件来运行JScript代码:
C:UsersUserAppDataRoamingMicrosoftmsxsl.exe “C:UsersUserAppDataRoamingMicrosoftF4B3A452B6EA052D286.txt” “C:UsersUserAppDataRoamingMicrosoft7009B05A8C4DC1B.txt”
后门
后门是用JScript编写的,它能够执行以下操作:
通过wmi和其他Windows工具进行检测
使用cmd.exe运行可执行文件
使用regsvr32.exe加载DLL文件
下载并运行新脚本
删除自身
检查AntiVirus软件
使用RC4的js实现进行c2通信
任何类型的脚本都可以由此后门运行,因此它所可以造成的恶意后果是不可估量的。样本会检查不同的防病毒软件,并且将用户信息发送回C2服务器,以便向恶意控制者传递消息以避免触发杀软警报。
我们在广告中找到的C2地址是: https://mail[.]hotmail[.]org[.]kz/owalanding/ajax[.]php
它似乎是在1994年注册在哈萨克斯坦的主机名,这个古老的服务器可能被恶意者攻击并被用做了远控C2。
攻击链的第二阶段似乎与2017年11月份确定的一项活动相同,可能均来自于Cobalt组织,但他们攻击的第一阶段完全不同,有可能是一个新的漏洞利用 工具 包Threadkit。而后门的代码与TrendMicro在2017年8月分析的代码看起来非常相似。2018年3月版和2017年8月版共有的命令如下:
more_eggs: 用于下载新脚本
d&exec: 用于运行可执行文件
gtfo: 用于终止实例并执行清理
more_onion: 用于运行新脚本
已经更新过的系统无需在意此次攻击,但未更新的系统应监视下面发布的IOC以及异常行为,例如从临时文件夹运行的msxsl或加载未知模块的regsvr32.exe。
• malicious RTF (DOC00201875891.doc): db5a46b9d8419079ea8431c9d6f6f55e4f7d36f22eee409bd62d72ea79fb8e72
• msxsl.exe (legitimate, dropped): 35ba7624f586086f32a01459fcc0ab755b01b49d571618af456aa49e593734c7
• JS persistence: 710eb7d7d94aa5e0932fab1805d5b74add158999e5d90a7b09e8bd7187bf4957
• XSL JS backdoor: 6a3f5bc5885fea8b63b80cd6ca5a7990a49818eda5de59eeebc0a9b228b5d277
• XML: dbe0081d0c56e0b0d7dbf7318a4e296776bdd76ca7955db93e1a188ab78de66c
• task.bat: 731abba49e150da730d1b94879ce42b7f89f2a16c2b3d6f1e8d4c7d31546d35d
• 2nd.bat: 33c362351554193afd6267c067b8aa78b12b7a8a8c72c4c47f2c62c5073afdce
• decoy document: 1ab201c1e95fc205f5445acfae6016679387bffa79903b07194270e9191837d8
• regsvr32 DLL: 0adc165e274540c69985ea2f8ba41908d9e69c14ba7a795c9f548f90f79b7574
• inteldriverupd1.sct: 002394c515bc0df787f99f565b6c032bef239a5e40a33ac710395bf264520df7
• C2: mail[.]hotmail[.]org[.]kz/owalanding/ajax.php
• IP (at the time of writing): 185.45.192.167
以上所述就是小编给大家介绍的《通过MSXSL方式进行鱼叉式网络钓鱼》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 针对卡塔尔和土耳其的鱼叉式网络钓鱼攻击
- 鱼叉攻击-尝试
- 疑似海莲花组织新动向:伪装成应聘者进行鱼叉邮件攻击
- 从一个钓鱼文档到伪造QQ钓鱼站点的攻击者过程追溯
- 关于钓鱼邮件的学习笔记
- 如何快速构建内部钓鱼平台
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Never Lost Again
[美] Bill Kilday / HarperBusiness / 2018-5-29 / USD 8.00
As enlightening as The Facebook Effect, Elon Musk, and Chaos Monkeys—the compelling, behind-the-scenes story of the creation of one of the most essential applications ever devised, and the rag-tag tea......一起来看看 《Never Lost Again》 这本书的介绍吧!