通过MSXSL方式进行鱼叉式网络钓鱼

栏目: 编程语言 · XML · 发布时间: 6年前

内容简介:在2018年中旬发现了针对各种实体进行的鱼叉式网络钓鱼活动,其中被传播的恶意的RTF(Rich Text Format)文件中利用了三种不同的漏洞:CVE-2017-8570,CVE-2017-11882和CVE-2018-0802,并且此次攻击同时也利用了二进制文件msxsl(微软的xml语言解析器,用来解释xml语言的)来运行JScript后门程序。此次攻击与Cobalt组织之前的活动有许多相似之处。

通过MSXSL方式进行鱼叉式网络钓鱼

在2018年中旬发现了针对各种实体进行的鱼叉式网络钓鱼活动,其中被传播的恶意的RTF(Rich Text Format)文件中利用了三种不同的漏洞:CVE-2017-8570,CVE-2017-11882和CVE-2018-0802,并且此次攻击同时也利用了二进制文件msxsl(微软的xml语言解析器,用来解释xml语言的)来运行JScript后门程序。此次攻击与Cobalt组织之前的活动有许多相似之处。

攻击方式

鱼叉式网络钓鱼活动使用恶意RTF文档:

通过MSXSL方式进行鱼叉式网络钓鱼

如果漏洞利用成功,则会打开一个诱饵文档:

通过MSXSL方式进行鱼叉式网络钓鱼

通过查看文档中的OLE对象,可以看到一些有趣的属性(下个部分详细分析)。

通过MSXSL方式进行鱼叉式网络钓鱼

打开文档后会进行一系列行为,主要归纳为:

  1. 恶意RTF文档对三个漏洞进行利用(CVE-2017-8570,CVE-2017-11882或CVE-2018-0802)
  2. 运行eqnedt32.exe(Microsoft公式编辑器)并在链中执行两个cmd.exe实例
  3. cmd.exe实例使用DLL(dll.txt)启动regsrv32.exe,然后删除诱饵文档
  4. 加载的DLL执行以下操作:
    创建一个XML文件
    创建一个XSL文件
    从磁盘中删除自身
    创建JScript文件(用于持久性存在)
    删除合法的MSXSL.exe副本
    运行MSXSL,从新创建的XML和XSL文件中获取最后一个后门

通过MSXSL方式进行鱼叉式网络钓鱼

第一阶段

漏洞被利用后,cmd.exe运行Task.bat:

ECHO OFF
set tp=”%temp%block.txt”
IF EXIST %tp% (exit) ELSE (set tp=”%temp%block.txt” & copy NUL %tp% & start /b %temp%2nd.bat)
del “%~f0”
exit
通过MSXSL方式进行鱼叉式网络钓鱼

设置环境变量后,将启动第二个批处理文件,其任务是启动regsrv32.exe以加载dll.txt,清除临时目录、重新启动显示诱饵文档的winword。

通过MSXSL方式进行鱼叉式网络钓鱼

为后门运行且可持久性运行设置正确环境,dll.txt会执行以下操作:

创建c:usersuserappdataroamingmicrosoftf4b3a452b6ea052d286.txt
创建c:usersuserappdataroamingmicrosoft7009b05a8c4dc1b.txt
创建c:usersuserappdataroamingmicrosoft12a0c3af5a631493445f1d42.js
删除c:usersuserappdataroamingmicrosoftmsxsl.exe executable, a Microsoft legitimate executable

在HKCUEnvironment中创建一个注册表项值,其值为“UserInitMprLogonScript”,数据为Cmd.Exe /C “%Appdata%Microsoft12A0C3AF5A631493445F1D42.Js(用于登录持久性脚本. ATT&CK TID: T1037)

DLL活动:

通过MSXSL方式进行鱼叉式网络钓鱼

DLL的文件系统和注册表活动:

通过MSXSL方式进行鱼叉式网络钓鱼

在生成cmd.exe实例后立即删除dll.txt并启动msxsl.exe,将删除的XML文件和XSL文件(包含后门代码)作为参数。

通过MSXSL方式进行鱼叉式网络钓鱼

用于保持持久性存在的脚本:

通过MSXSL方式进行鱼叉式网络钓鱼

值得注意的是这里使用了msxsl.exe,它是用于使用Microsoft的XSL处理器执行可扩展样式表语言(XSL)转换的命令行程序。可以使用此可执行文件来运行JScript代码:

C:UsersUserAppDataRoamingMicrosoftmsxsl.exe
“C:UsersUserAppDataRoamingMicrosoftF4B3A452B6EA052D286.txt”
“C:UsersUserAppDataRoamingMicrosoft7009B05A8C4DC1B.txt”

通过MSXSL方式进行鱼叉式网络钓鱼

后门

后门是用JScript编写的,它能够执行以下操作:

通过wmi和其他Windows工具进行检测

使用cmd.exe运行可执行文件

使用regsvr32.exe加载DLL文件

下载并运行新脚本

删除自身

检查AntiVirus软件

使用RC4的js实现进行c2通信

通过MSXSL方式进行鱼叉式网络钓鱼

任何类型的脚本都可以由此后门运行,因此它所可以造成的恶意后果是不可估量的。样本会检查不同的防病毒软件,并且将用户信息发送回C2服务器,以便向恶意控制者传递消息以避免触发杀软警报。

我们在广告中找到的C2地址是: https://mail[.]hotmail[.]org[.]kz/owalanding/ajax[.]php

它似乎是在1994年注册在哈萨克斯坦的主机名,这个古老的服务器可能被恶意者攻击并被用做了远控C2。

通过MSXSL方式进行鱼叉式网络钓鱼

攻击链的第二阶段似乎与2017年11月份确定的一项活动相同,可能均来自于Cobalt组织,但他们攻击的第一阶段完全不同,有可能是一个新的漏洞利用 工具 包Threadkit。而后门的代码与TrendMicro在2017年8月分析的代码看起来非常相似。2018年3月版和2017年8月版共有的命令如下:

more_eggs: 用于下载新脚本

d&exec: 用于运行可执行文件

gtfo: 用于终止实例并执行清理

more_onion: 用于运行新脚本

已经更新过的系统无需在意此次攻击,但未更新的系统应监视下面发布的IOC以及异常行为,例如从临时文件夹运行的msxsl或加载未知模块的regsvr32.exe。

• malicious RTF (DOC00201875891.doc): db5a46b9d8419079ea8431c9d6f6f55e4f7d36f22eee409bd62d72ea79fb8e72

• msxsl.exe (legitimate, dropped): 35ba7624f586086f32a01459fcc0ab755b01b49d571618af456aa49e593734c7

• JS persistence: 710eb7d7d94aa5e0932fab1805d5b74add158999e5d90a7b09e8bd7187bf4957

• XSL JS backdoor: 6a3f5bc5885fea8b63b80cd6ca5a7990a49818eda5de59eeebc0a9b228b5d277

• XML: dbe0081d0c56e0b0d7dbf7318a4e296776bdd76ca7955db93e1a188ab78de66c

• task.bat: 731abba49e150da730d1b94879ce42b7f89f2a16c2b3d6f1e8d4c7d31546d35d

• 2nd.bat: 33c362351554193afd6267c067b8aa78b12b7a8a8c72c4c47f2c62c5073afdce

• decoy document: 1ab201c1e95fc205f5445acfae6016679387bffa79903b07194270e9191837d8

• regsvr32 DLL: 0adc165e274540c69985ea2f8ba41908d9e69c14ba7a795c9f548f90f79b7574

• inteldriverupd1.sct: 002394c515bc0df787f99f565b6c032bef239a5e40a33ac710395bf264520df7

• C2: mail[.]hotmail[.]org[.]kz/owalanding/ajax.php

• IP (at the time of writing): 185.45.192.167


以上所述就是小编给大家介绍的《通过MSXSL方式进行鱼叉式网络钓鱼》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

PHP 5权威编程

PHP 5权威编程

(美)古曼兹等 / 简张桂 / 电子工业出版社 / 2007-12 / 90.00元

《BRUCE PERENS开源系列丛书•PHP 5权威编程》为大家全面介绍了PHP 5中的新功能、面向对象编程方法及设计模式,还分析阐述了PHP5中新的数据库连接处理、错误处理和XML处理等机制。希望能够帮助读者系统了解、熟练掌握PHP,最大程度地挖掘:PHP的潜力,以更低的成本搭建更加稳健、高效的PHP应用。 近年来,随着使用PHP的大流量网站逐渐增加,企业在使用PHP的时候开始面临新的问......一起来看看 《PHP 5权威编程》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器