内容简介:最近,基于word文档的电子邮件攻击愈发猛烈。邮箱收到一封电子邮件,包含如下的WORD附件。文档打开后,显示如下图。内容就是一幅图片,提示要查看具体的传真内容要求用户启动宏。不言而喻,这是一个带有宏的word文档。
*本文原创作者:cfg99,本文属FreeBuf原创奖励计划,未经许可禁止转载
一、基本情况
最近,基于word文档的电子邮件攻击愈发猛烈。邮箱收到一封电子邮件,包含如下的WORD附件。文档打开后,显示如下图。内容就是一幅图片,提示要查看具体的传真内容要求用户启动宏。不言而喻,这是一个带有宏的word文档。
点击“启用内容”后,文档显示为空文档,并且一两秒内word就退出了。
重新打开该文档,发现显示的内容就是一个空文档,上面的传真图片也没有了。
文档打开后,进程监控 工具 竟然没有发现有恶意进程执行。
Word文档前后的对比如下所所示。很明显,恶意文档打开后使用了一个干净的文档替换原来的文档内容,一是使恶意文档不重复进行感染,二是更好的隐蔽保护自身。
与“分析一个用于传播Hancitor恶意软件的Word文档(第一部分)”【 https://www.freebuf.com/articles/system/181023.html】 一文中描述的现象很相似。该文是一篇翻译文章,原文来自“Post 0×16:Hancitor MalSpam – Stage 1”【 https://0ffset.wordpress.com/2018/08/12/post-0×16-hancitor-stage-1/ 】,另外第二部分的深入分析可见“Post 0×16.2: Hancitor Stage 2”一文【 https://0ffset.wordpress.com/2018/10/14/post-0×16-hancitor-stage-2/】 。
经过对宏文档和PE负载的分析,发现本次样本包含的宏代码与Hancitor文档宏代码有较大的变化,但是通过对内含主要PE负载文件的分析,发现二者基本一致,比如IDA反汇编后形式、代码加密执行、网络通信协议(比如都是访问诸如hxxp://xxx.xxx/4/forum.php)等,主要是C2域名不同,此外本次PE文件增加了UAC权限申请。因此,可基本判定本次恶意邮件攻击属于Hancitor恶意邮件攻击行动。
二、恶意宏分析
打开后,发现宏包含了两个窗体对象UserForm1和UserForm2,并且包含的内容都是“4d5a9000”开头的字符串,很明显这是两个PE文件。
利用winhex在文档直接搜索“4d5a”字符串,可以发现在文档位置0x1d81c和0x5601c处包含了两个PE文件,如下图所示。
1、Document_Open函数
利用“Document_Open”函数实现在文档打开的时候运行宏,函数的内容如下托所示。首先判断是否存在“%appdata”目录下是否存在 lnk目录,如果已经存在直接退出(已经感染过)。否则的话,通过调用HexToString函数分别释放UserForm1和UserForm2的内容至%appdata%目录下的werd.exe和wird.exe,最后调用finds函数。
2、finds函数
finds函数的内容如下图所示。主要分为四部分的功能,一是在%appdata%目录下创建lkn子目录;二是调用kk函数把public用户桌面下的快捷方式文件移至当前用户桌面下;三是拷贝当前用户桌面下的所有快捷方式文件至“%appdata%/lnk”目录下,并调用MakeShortcut函数进行感染生成新的桌面快捷方式文件;四是利用干净文档替换恶意文档并退出。
此时,我们可以在%appdata%下查看,发现确实多了一个lkn文件夹以及wird.exe和werd.exe两个PE文件,如下图所示。
其中文件属性和图标如下图所示。
我们可以看到,werd.exe竟然要求UAC提权,看来该恶意文件应该包含高权限操作。
3、kk函数
kk函数很简单,就是把public用户下的快捷方式移到当前用户桌面下。
4、MakeShortcut函数
MakeShortcut函数具体内容如下图所示。主要是把当前用户桌面下的快捷方式文件进行感染操作,使得所有的快捷方式文件都指向到“%appdata%/wird.exe”,并由其负责解析执行。
比如原来桌面的winhex快捷方式文件,前后的对比图如下图所示。我们可以看到,快捷方式的属性中,目标类型、目标和起始位置三项都发生了变化,其中目标由“C:\Program Files (x86)\WinHex\WinHex.exe”变化为“C:\Users\admin\AppData\Roaming\wird.exe “WinHex.exe”"C:\Users\admin\AppData\Roaming\lkn\WinHex – 快捷方式.lnk””。
也就是说,当用户点击受感染的winhex快捷方式的时候,其实调用的进程是%appdata%/lkn/wird.exe,并且带有两个参数,分别是”WinHex.exe”以及”C:\Users\admin\AppData\Roaming\lkn\WinHex – 快捷方式.lnk”。
此外,会修改桌面上所有的快捷方式文件,比如桌面上的“iexplore快捷方式”前后对照如下图所示。相应的“iexplore快捷方式”原本指向的“C:\Program Files (x86)\Internet Explorer\iexplore.exe”被修改为“C:\Users\admin\AppData\Roaming\wird.exe “iexplore.exe”"C:\Users\admin\AppData\Roaming\lkn\iexplore – 快捷方式.lnk””。
5、wird.exe
可选择任意一个桌面受感染快捷方式执行。试验中我们选择了双击winhex快捷方式,wird.exe开始运行。
首先,拷贝%AppData%\werd.exe文件到该目录下的winhex.exe然后执行。winhex.exe执行后,UAC弹窗提示WinHex.exe需要权限(其实是werd.exe),通过这种方式欺骗用户,让用户不经意之间就点击“是”从而允许UAC提权操作。
随后,wird.exe会打开真正的winhex快捷方式运行系统上的真实的“winhex.exe”。
其次,wird.exe会恢复桌面所有快捷方式文件。wird.exe会用%appdata%/lkn目录下的快捷方式文件(干净的)恢复当前用户的桌面快捷方式。保证了只要运行一次“感染快捷方式”即可(当桌面有很多快捷方式,其实只要点击任意一个感染快捷方式,运行werd.exe文件后,wird.exe就完成了任务,会恢复桌面所有的干净快捷方式文件)。
最后,它会自删除。wird.exe通过调用“cmd.exe /c del C:\Users\admin\AppData\Roaming\wird.exe >> NUL”命令删除自身文件并退出,从而完成文件自删除操作。
因此,wird.exe程序非常简单,就是负责完成快捷方式的相关操作,启动werd.exe,恢复桌面,自删除。成功运行后,用户桌面将恢复原样。同时,%appdata%目录下只剩下winhex.exe(其实就是werd.exe,修改为第一次双击的感染桌面快捷方式对应的进程名,本次实验环境使用的是winhex,所以werd.exe改名为winhex.exe),以及一个空的lkn文件夹。
5、werd.exe
Werd.exe运行后(本次环境改名为winhex.exe),连接的网络状态如下图。
连接的C2服务器域名与端口为ninglarenlac.com:80,IP地址为191.101.20.16,连接成功后POST数据到服务器,访问的URL是:hxxp:/ ninglarenlac.com/4/forum.php。网络数据如下图所示。
发送的数据包括GUID、build、机器名、域名及用户名、外网IP地址、操作系统版本等,其中外网IP地址通过访问: http://api.ipify.org/ 获取。网络数据如下图所示。
直接用浏览器访问域名ninglarenlac.com,返回字符串“ok”,如下图所示。
此外,还包含了另外两个C2域名,分别是mylaledpar.ru和ratleaningres.ru。不过两个域名好像没有启动,无法解析。如下图所示。
三、结语
与以往宏病毒样本相比,本次恶意宏文档具备如下的几个特点:
1、没有网络下载动作。文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。
2、没有直接进程执行动作。不像以往恶意宏会直接执行恶意负载,作者利用感染用户桌面快捷方式的途径来达成进程启动目的。
3、会利用干净文档替换恶意文档,从而更具迷惑性。
IOCS:
Word文档:aab23055f489b5c1feca97a763ef808d
werd.exe:cea527236e09f569093fea67d8008e80
wird.exe:a792c67256870507a254e7cac1a1f145
C2 Servers:
hxxp:/ ninglarenlac.com/4/forum.php
hxxp://mylaledpar.ru/4/forum.php
hxxp://ratleaningres.ru/4/forum.php
*本文原创作者:cfg99,本文属FreeBuf原创奖励计划,未经许可禁止转载
以上所述就是小编给大家介绍的《一个Hancitor恶意邮件活动Word文档样本的分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 恶意样本分析手册——文件封装篇
- 基于深度学习的恶意样本行为检测(含源码)
- 负载恶意软件HawkEye的VB Inject样本分析
- 首个完整利用WinRAR漏洞传播的恶意样本分析
- 十分钟学会恶意样本分析,一眼看透无所遁形
- YARA 3.11.0 发布,识别和分类恶意软件样本工具
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
算法笔记上机训练实战指南
胡凡、曾磊 / 机械工业出版社 / 2016-7 / 57
《算法笔记上机训练实战指南》是《算法笔记》的配套习题集,内容按照《算法笔记》的章节顺序进行编排,其中整理归类了PAT甲级、乙级共150多道题的详细题解,大部分题解均编有题意、样例解释、思路、注意点、参考代码,且代码中包含了详细的注释。读者可以通过本书对《算法笔记》的知识点进行更深入的学习和理解。书中印有大量二维码,用以实时更新或补充书籍的内容及发布本书的勘误。 《算法笔记上机训练实战指南》可......一起来看看 《算法笔记上机训练实战指南》 这本书的介绍吧!