【技术分享】浅析如何通过一个PPT传递恶意文件

栏目: 编程工具 · 发布时间: 7年前

内容简介:【技术分享】浅析如何通过一个PPT传递恶意文件
2017-06-07 09:58:25 阅读:284次 来源: dodgethissecurity.com 作者:myswsun

【技术分享】浅析如何通过一个PPT传递恶意文件

翻译: myswsun

预估稿费:80RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

0x00 前言

本文介绍一种新的恶意下载者,通过PPT传递恶意powershell脚本,可直接通过鼠标悬停事件触发。

0x01 分析

这个PPT文档很有趣。首先这个文档不依赖宏、Javascript或者VBA来作为执行方式。这意味着这个文档不符合常规的利用方式。当用户打开文档,呈现文本“Loading…Please wait”,其对用户来说是一个蓝色的超链接。当用户悬停鼠标到文本之上(很常见的用户检测超链接的方式)将导致执行Powershell。这通过在悬停操作中定义一个元素实现。这个悬停操作是为了当用户鼠标悬停在文本时在PowerPoint中执行一个程序。在slide1的资源定义中,“rID2”被定义为一个超链接,其目标是PowerShell命令。由于它的长度,在下面一步步的截图中可以看到它。

当PowerShell执行时,会从域名“cccn.nl”得到c.php文件,下载它,以“ii.jse”为名称保存在临时目录中。它能通过wscript.exe执行,然后释放出一个文件“168.gop”,然后以-decode为参数执行certutil.exe。certutil.exe将168.gop解码,在临时目录保存为484.exe。然后执行484.exe,它会启动mstsc.exe允许RDP访问系统。484.exe之后被mstsc.exe重命名保存到AppData\Roaming\Microsoft\Internet Explorer\sectcms.exe,然后在新目录重新执行。一个bat文件被写到磁盘。这个bat文件的目的似乎是改变sectcms.exe为隐藏属性(系统文件且只读)。它还会删除临时文件夹下的所有的.txt/.exe/.gop/.log/.jse文件。我在沙箱中执行了8小时,但是没有等到攻击者连接系统。因此我不能看见后门的其他目的。

截图分析:

打开文档的呈现文本:

【技术分享】浅析如何通过一个PPT传递恶意文件

当悬停文档时的警告消息:

【技术分享】浅析如何通过一个PPT传递恶意文件

如果用户允许了,将显示下面的PowerShell提示,并很快隐藏:

【技术分享】浅析如何通过一个PPT传递恶意文件

下面是我为了测试PowerShell是否感知代理修改的callout——通过在PowerPoint Slide中编辑XML文件:

【技术分享】浅析如何通过一个PPT传递恶意文件

下面是Slide1元素中定义的rID2元素,很明显看到Powershell命令作为超链接的目标:

【技术分享】浅析如何通过一个PPT传递恶意文件

下面是Slide1 XML。红色高亮部分表示怎么定义悬停动作:

【技术分享】浅析如何通过一个PPT传递恶意文件

Sysmon 截图分析:

PowerPoint初始打开时的Sysmon日志:

【技术分享】浅析如何通过一个PPT传递恶意文件

Sysmon记录的PowerShell命令的执行:

【技术分享】浅析如何通过一个PPT传递恶意文件

恶意的payload的初始进程创建:

【技术分享】浅析如何通过一个PPT传递恶意文件

Mstsc.exe的进程创建之后,用于RDP访问系统:

【技术分享】浅析如何通过一个PPT传递恶意文件

原始payload进程的终结:

【技术分享】浅析如何通过一个PPT传递恶意文件

原始payload的文件拷贝。重命名为sectcms.exe和在AppData文件夹下隐藏:

【技术分享】浅析如何通过一个PPT传递恶意文件

新移动的payload的再次执行:

【技术分享】浅析如何通过一个PPT传递恶意文件

在临时文件夹中创建bat文件:

【技术分享】浅析如何通过一个PPT传递恶意文件

通过cmd.exe执行bat文件。执行源是mstsc.exe:

【技术分享】浅析如何通过一个PPT传递恶意文件

Bat的一个功能是添加隐藏、系统和只读属性:

【技术分享】浅析如何通过一个PPT传递恶意文件

Sectcms.exe的第二次实例创建:

【技术分享】浅析如何通过一个PPT传递恶意文件

最后,sectcms.exe的一个实例的退出:

【技术分享】浅析如何通过一个PPT传递恶意文件

0x02 IOCs

File: order.ppsx

MD5: 823c408af2d2b19088935a07c03b4222

SHA1: df99061e8ad75929af5ac1a11b29f4122a84edaf

SHA256: f05af917f6cbd7294bd312a6aad70d071426ce5c24cf21e6898341d9f85013c0

SHA512: 2cc9e87e0d46fdd705ed429abb837015757744783bf1e904f9f22d56288b9554a1bc450142e2b1644a4912c12a522391b354d97956e4cb94890744266249b7f9

File: C:\Users\Current User\AppData\Local\Temp\168.gop

MD5: 9B5AC6C4FD5355700407962F7F51666C

SHA: 9FDB4CD70BBFB058D450AC9A6985BF3C71840906

SHA-256: E97B266D0B5AF843E49579C65838CEC113562A053B5F87A69E8135A0A82564E5

SHA-512: AB85132D845437A7900E03C2F3FA773433815A4893E16F7716A5F800558B5F01827F25463EAFF619F804C484A1D23CDD5F2BCCC0F91B4B4D0C117E87D830B1B3

File: C:\Users\Current User\AppData\Local\Temp\484.exe

File: C:\Users\Current User\AppData\Roaming\Microsoft\Internet Explorer\sectcms.exe

MD5: 13CDBD8C31155610B628423DC2720419

SHA: 7633A023852D5A0B625423BFFC3BBB14B81C6A0C

SHA-256: 55C69D2B82ADDD7A0CD3BEBE910CD42B7343BD3FAA7593356BCDCA13DD73A0EF

SHA-512: 19139DAE43751368E19C4963C4E087C6295CC757B215A32CB95E12BDD82BB168DB91EA3385E1D08B9A5D829549DFBB34C17CA29BFCC669C7EAE51456FCD7CA49

File: C:\Users\Current User\AppData\Local\Temp\ii.jse

MD5: F5B3D1128731CAC04B2DC955C1A41114

SHA: 104919078A6D688E5848FF01B667B4D672B9B447

SHA-256: 55821B2BE825629D6674884D93006440D131F77BED216D36EA20E4930A280302

SHA-512: 65D8A4CB792E4865A216D25068274CA853165A17E2154F773D367876DCC36E7A7330B7488F05F4EE899E40BCAA5F3D827E1E1DF4915C9693A8EF9CAEBD6D4BFB

C2 Communications:

hxxp://cccn.nl/c.php

hxxp://cccn.nl/2.2

IP Address of C2/Payload Domain:

46.21.169.110

0x03 参考

https://www.peerlyst.com/posts/microsoft-office-malware-now-being-delivered-without-macros-but-using-pps-url-mouse-hover-marry-tramp?trk=search_page_search_result

https://www.joesecurity.org/reports/report-823c408af2d2b19088935a07c03b4222.html

https://www.hybrid-analysis.com/sample/796a386b43f12b99568f55166e339fcf43a4792d292bdd05dafa97ee32518921?environmentId=100

https://www.virustotal.com/en/file/796a386b43f12b99568f55166e339fcf43a4792d292bdd05dafa97ee32518921/analysis

【技术分享】浅析如何通过一个PPT传递恶意文件 【技术分享】浅析如何通过一个PPT传递恶意文件

本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。

原文链接:https://www.dodgethissecurity.com/2017/06/02/new-powerpoint-mouseover-based-downloader-analysis-results/

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

C++面向对象程序设计

C++面向对象程序设计

萨维奇 (Walter Savitch) / 周靖 / 清华大学出版社 / 2003-12 / 59.0

《C++面向对象程序设计》具备良好的编排体系,适合打算涉足编程领域的读者阅读,尤其适合大一学生。它最大的特色是Savitch教授最受欢迎的写作风格,这一风格非常适合初学者,能迅速引导他们开始编程实践。《C++面向对象程序设计》包括全面的习题、项目、编程提示、编程示例、编程陷阱以及有用的小结,以帮助初学者更清楚地了解C++。一起来看看 《C++面向对象程序设计》 这本书的介绍吧!

MD5 加密
MD5 加密

MD5 加密工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具