時間:2018-08-26 來源:互聯網 瀏覽量:
根據微軟2016年威脅情報報告,98%的Office目標威脅使用宏來實現的。那麼,難道我們就隻專注於檢測利用宏的威脅嗎?當然不是,攻擊者都在不斷創新。
找到繞過現有安全解決方案的方法,並使惡意軟件易於執行,是攻擊者的首要任務。
利用漏洞實現代碼執行是一種很好的方法,但對於大多數攻擊者來說,它們的實現技術太高,而且成本太高。較不常見的文件類型提供了便於攻擊者使用的傳遞方法,不需要受害者采取太多的行動,也可以逃避檢測。
如果文件類型尚未被惡意軟件廣泛使用,那麼很有可能安全產品對正確分析文件類型的支持有限。為此,可以利用一些很少使用的Office文件類型和特性來實現此目的。在這篇博文中,我們將重點介紹一些技術,這些技術使用了大多數被遺忘的特性來通過Microsoft Office提供惡意軟件。
4種通過Microsoft Office提供惡意軟件的技術
除了常見的VBA和利用漏洞的方式之外,Office還支持文件類型,這些文件類型大多被遺忘,通常不會在正常環境中使用。如果Excel支持該文件類型(例如,IQY、SLK),它將在Windows中顯示一個熟悉的Excel圖標,從而降低受害者變得可疑,並更有可能打開該文件的可能性。使用Excel打開後,使用DDE(DynamicDataExchange,動態數據交換)協議,如果在受害者的計算機上啟用,可以輕鬆執行代碼。
使用對象鏈接和嵌入(ObjectLinkandEmbedded,OLE)是利用Windows支持的文件類型感染用戶計算機的一種常見技術。讓受害者打開Word文檔要比直接讓可執行文件更容易。攻擊者麵臨的問題是Office 2016默認阻止某些文件擴展名的執行。安全研究員MattNelson發現了一種文件類型-SettingContent-MS-它可以執行代碼,但不在Office實現的阻止執行黑名單中,因此不會像OLE那樣被阻止執行。
另一種濫用Office功能的方法是使用Word或Excel的,眾所周知但很少使用的啟動路徑。如果支持的文件放置在此文件夾中,則將在應用程序下一次啟動時自動打開該文件。
1)IQY-Excel Web查詢
2)SLK-符號鏈接
3)啟動路徑
4)嵌入式設置內容
現在,讓我們來看看利用這些投遞技術的四個示例。
IQY-Excel Web查詢
查看VMRayAnalyzer報告
SHA 256:ca0da220f7691059b3174b2de14bd41ddb96bf3f02a2824b2b8c103215c7403c
Excel Web查詢是用於將內容從Web查詢並填充到Excel單元格的簡單文本文件。這些文件包含一個URL,在Excel中打開該文件後,URL的內容將被下載到工作簿中。從那時起,DDE就可以輕鬆地執行代碼了。
Excel已支持該文件類型超過十年,但公開發布的惡意軟件直到5月底才開始使用此技術.
然後在6月初發布了一份詳細介紹利用此種方式進行攻擊行動的報告:
惡意軟件分析: Excel Web Query (iqy)文件下載FlawedAmmyy遠控 (VirusTotal5/59)https://t.co/GJAnsfwwOg #infosec18 pic.twitter.com/PCpm3O1Pfe
示例本身非常簡單,隻是一個文本文件,其中包含要下載的鏈接。
圖1:IQY文件的內容
打開文件時,Excel下載2.dat,並將文件的內容複製到單元格中。
圖2:Excel下載下一階段
圖3:下載的2.dat文件的內容
2. dat的內容以=cmd|。這是一個簡單的DDE方法,用於簡單地獲得後麵代碼執行。管道使用cmd.exe執行後的字符串,並將使用PowerShell下載下一階段(1.dat)。在執行命令之前,Excel中會彈出警告。
圖4:Office 2016的警告
圖5: 第二階段的內容, 1.dat
1.dat是一個簡單的PowerShell下載程序,它下載並執行FlawinAmmyy遠控。
圖6:下載和執行FlawinAmmyy的IQY文件的處理圖
SLK-符號鏈接
查看VMRayAnalyzer報告
SHA 256:3d479d661bdf4203f2dcdeaa932c3710ffb4a8edb6b0172a94659452d9c5c7f0
SLK文件格式是為在電子表格之間交換信息而設計的。與IQY一樣,它也是Office支持的另一種格式,它可以與DDE相結合,以一種簡單的方式執行代碼。盡管該文件的內部文件是無文檔的,但可以輕鬆地修改現有的SLK文件,而不需要了解格式,並且有非正式的文件嚐試。
對於攻擊者來說,實現代碼執行的唯一方法是用動態表達式替換SLK文件中的單元格,比如以“=cmd\”開頭的單元格。以下示例(地址)使用此技術開始使用聯機XSL。攻擊者可以直接在這裏下載有效載荷,但可以使用“SquiblyTwo”SubTee技術,利用WMIC實現代碼執行的技術。
圖7:使用自定義電子表格啟動wmic.SLK。
圖8:SLK啟動WMIC的過程圖
啟動文件夾
查看VMRayAnalyzer報告
SHA 256:83b0d7926fb2c5bc0708d9201043107e8709d77f2cd2fb5cb7693b2d930378d2
打開Word或Excel時,它們會解析某些文件夾,查找文件,並在默認情況下打開它們。這個特性有很詳細的文檔記錄,一些組織在默認情況下使用它來打開默認的模板。
該特性也可以被惡意軟件用作持久化機製或沙箱逃逸技術。技術實施起來簡單,就隻需將一個文件放到其中一個文件夾中。除非下一次啟動相關的Office程序,否則不會打開該文件,沙箱可能不會自動打開該文件。
示例(地址)是一個rtf文件,該文件利用Word的等式編輯器漏洞(CVE-2017-11882)將XLS拖放到擴展名為xlam的默認ExcelXLSTART文件夾中。
圖9:刪除文件到XLSTART的檢測
圖10:被丟棄的XLS的Yara匹配
釋放的XLS有經過混淆的宏,下一次啟動Excel時,它將打開已刪除的文件,並執行宏,最後將DLL刪除到AppData文件夾,並將其鏈接到係統啟動時運行。查看釋放的XLS的VMRay Analyzer報告
圖11:刪除XLS的檢測
嵌入式設置內容
查看VMRayAnalyzer報告
SHA 256:3c6a74d216e10e4ff158716cfa72984230995041c4bbb7596b8c8aaa461d76c5
本質上,SettingContent-Ms文件類型是一個XML,它有一個名為“Deeplink”的標簽。Deeplink可以指向任何可運行的文件,當文件打開時,指定的文件將被執行。
當使用Office的連接打開文檔中嵌入的文檔時,Office可以禁用或警告打開嵌入的文件(如果它們是可執行的)。可執行文件黑名單中缺少了這個擴展名,因此它繞過了這個安全特性,這意味著使用Office文檔執行代碼要容易得多。在該漏洞被公開披露後,安全研究人員創建了測試樣本,其中許多最終在VirusTotal上結束。這種方法也被野生的惡意軟件所使用,讓LokiBot掉了下來。從那時起,它就被廣泛應用於惡意軟件的運動中,它的變化是將文件嵌入到PDF文件中,而不是DOC文件。
VMRay Analyzer檢測文件結果:
圖12:VMRayAnalyzer檢測文件
結語
攻擊者在不斷尋找新的攻擊載體。在Office文檔中使用宏很容易檢測,而且由於它們需要一些技能來實現,因此無法訪問它們。然而,Office確實提供了許多現在未使用和被遺忘的特性,可以利用這些特性來創建成功的攻擊。重新發現這些Office功能需要努力和技巧,但是一旦有了概念的證明,就有了一個窗口,可以用很少的技能創建高效的攻擊。
(作者:曲速未來安全區,內容來自鏈得得內容開放平台“得得號”;本文僅代表作者觀點,不代表鏈得得官方立場)
